SecBoard
Zurück zur Übersicht

SEO-Poisoned Software Sites Abuse ScreenConnect to Deploy AsyncRAT

The Hacker News·
Originalartikel lesen bei The Hacker News

Unbekannte Akteure missbrauchen ScreenConnect, um AsyncRAT zu verbreiten. Sie nutzen gefälschte Websites, die beliebte Software wie OBS Studio imitieren, um schädliche Installer zu verbreiten. Nutzer sollten Software nur von offiziellen Quellen herunterladen, um sich vor dieser massiven Kampagne zu schützen.

Kurzfassung

Unbekannte Akteure missbrauchen ScreenConnect, um AsyncRAT über SEO-vergiftete Software-Websites zu verbreiten. Diese Websites imitieren beliebte Software wie OBS Studio, um schädliche Installer zu verbreiten. Nutzer sollten Software nur von offiziellen Quellen herunterladen, um sich vor dieser Kampagne zu schützen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen, deren Mitarbeiter Software von inoffiziellen Quellen herunterladen. Behörden sind explizit erwähnt.

Warum relevant

Die Kampagne nutzt SEO-Poisoning, um Nutzer auf gefälschte Download-Seiten zu locken, was zu einer weiten Verbreitung von AsyncRAT führen kann. Die Verwendung von ScreenConnect als Teil der Angriffskette ermöglicht Fernzugriff und weitere Kompromittierung.

Realistisches Worst Case

Erfolgreiche Installation von AsyncRAT, was zu Fernzugriff, Datenexfiltration und weiterer Kompromittierung der betroffenen Systeme führen kann.

Handlungsempfehlung

Mitarbeiter schulen, Software nur von offiziellen Quellen herunterzuladen. Endpoint-Detection- und Response-Lösungen (EDR) implementieren und überwachen. Regelmäßige Überprüfung von Netzwerk-Traffic auf ungewöhnliche Verbindungen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre EDR-Lösungen die Ausführung von ScreenConnect-Komponenten von ungewöhnlichen Pfaden oder durch unerwartete Prozesse erkennen und blockieren.
  • Validieren Sie, ob Ihre Netzwerk-Firewalls und Proxys den Zugriff auf bekannte bösartige Domains oder IP-Adressen blockieren, die mit AsyncRAT in Verbindung gebracht werden.
  • Führen Sie eine Überprüfung der Software-Installationsrichtlinien durch und stellen Sie sicher, dass nur signierte und von der Organisation genehmigte Software installiert werden kann.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighSEO-Poisoned Software Sites Abuse ScreenConnect to Deploy AsyncRAT
ExecutionT1059 Command and Scripting InterpreterLowdeploy AsyncRAT (impliziert die Ausführung von bösartigem Code)
PersistenceT1547 Boot or Logon Autostart ExecutionLowAsyncRAT (Remote Access Trojaner etablieren typischerweise Persistenz)
Command and ControlT1071 Application Layer ProtocolMediumdeploy AsyncRAT (AsyncRAT ist ein RAT, der C2-Kommunikation nutzt)
Defense EvasionT1036 MasqueradingHighdisguised as popular applications like OBS Studio and Bandicam
Offene Punkte
  • Spezifische CVEs oder Exploits, die von den Angreifern genutzt werden, sind nicht genannt.
  • Die genauen Methoden des SEO-Poisonings sind nicht detailliert beschrieben.
  • Die Infrastruktur der Angreifer (C2-Server, Domains) ist nicht angegeben.
  • Die genauen Versionen von ScreenConnect, die missbraucht werden, sind nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Windows extern erreichbar?
  • Können wir Reconnaissance detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance