SEO-Poisoned Software Sites Abuse ScreenConnect to Deploy AsyncRAT
Unbekannte Akteure missbrauchen ScreenConnect, um AsyncRAT zu verbreiten. Sie nutzen gefälschte Websites, die beliebte Software wie OBS Studio imitieren, um schädliche Installer zu verbreiten. Nutzer sollten Software nur von offiziellen Quellen herunterladen, um sich vor dieser massiven Kampagne zu schützen.
Unbekannte Akteure missbrauchen ScreenConnect, um AsyncRAT über SEO-vergiftete Software-Websites zu verbreiten. Diese Websites imitieren beliebte Software wie OBS Studio, um schädliche Installer zu verbreiten. Nutzer sollten Software nur von offiziellen Quellen herunterladen, um sich vor dieser Kampagne zu schützen.
Organisationen, deren Mitarbeiter Software von inoffiziellen Quellen herunterladen. Behörden sind explizit erwähnt.
Die Kampagne nutzt SEO-Poisoning, um Nutzer auf gefälschte Download-Seiten zu locken, was zu einer weiten Verbreitung von AsyncRAT führen kann. Die Verwendung von ScreenConnect als Teil der Angriffskette ermöglicht Fernzugriff und weitere Kompromittierung.
Erfolgreiche Installation von AsyncRAT, was zu Fernzugriff, Datenexfiltration und weiterer Kompromittierung der betroffenen Systeme führen kann.
Mitarbeiter schulen, Software nur von offiziellen Quellen herunterzuladen. Endpoint-Detection- und Response-Lösungen (EDR) implementieren und überwachen. Regelmäßige Überprüfung von Netzwerk-Traffic auf ungewöhnliche Verbindungen.
- ▸Überprüfen Sie, ob Ihre EDR-Lösungen die Ausführung von ScreenConnect-Komponenten von ungewöhnlichen Pfaden oder durch unerwartete Prozesse erkennen und blockieren.
- ▸Validieren Sie, ob Ihre Netzwerk-Firewalls und Proxys den Zugriff auf bekannte bösartige Domains oder IP-Adressen blockieren, die mit AsyncRAT in Verbindung gebracht werden.
- ▸Führen Sie eine Überprüfung der Software-Installationsrichtlinien durch und stellen Sie sicher, dass nur signierte und von der Organisation genehmigte Software installiert werden kann.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | SEO-Poisoned Software Sites Abuse ScreenConnect to Deploy AsyncRAT |
| Execution | T1059 Command and Scripting Interpreter | Low | deploy AsyncRAT (impliziert die Ausführung von bösartigem Code) |
| Persistence | T1547 Boot or Logon Autostart Execution | Low | AsyncRAT (Remote Access Trojaner etablieren typischerweise Persistenz) |
| Command and Control | T1071 Application Layer Protocol | Medium | deploy AsyncRAT (AsyncRAT ist ein RAT, der C2-Kommunikation nutzt) |
| Defense Evasion | T1036 Masquerading | High | disguised as popular applications like OBS Studio and Bandicam |
- Spezifische CVEs oder Exploits, die von den Angreifern genutzt werden, sind nicht genannt.
- Die genauen Methoden des SEO-Poisonings sind nicht detailliert beschrieben.
- Die Infrastruktur der Angreifer (C2-Server, Domains) ist nicht angegeben.
- Die genauen Versionen von ScreenConnect, die missbraucht werden, sind nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Haben wir Windows extern erreichbar?
- Können wir Reconnaissance detektieren?