SecBoard
Zurück zur Übersicht

The SOC Files: ScreenConnect masked as freeware. An inside look at a large-scale campaign

Securelist·
Originalartikel lesen bei Securelist

Eine massive Kampagne verbreitet über gefälschte Websites, die beliebte Software imitieren, bösartige Installer. Diese nutzen DLL-Sideloading, um den legitimen Fernzugriffsdienst ScreenConnect zu installieren, der dann eine AsyncRAT-Payload ausführt. Betroffen sind Einzelnutzer und Organisationen, deren Systeme so von Angreifern kontrolliert werden können. Nutzer sollten Software nur von offiziellen Quellen herunterladen und auf verdächtige Aktivitäten achten.

Kurzfassung

Eine groß angelegte Kampagne verbreitet bösartige Installer über gefälschte Websites, die beliebte Software imitieren. Diese Installer nutzen DLL-Sideloading, um den legitimen Fernzugriffsdienst ScreenConnect zu installieren, der dann eine AsyncRAT-Payload ausführt. Dies ermöglicht Angreifern die Kontrolle über kompromittierte Systeme von Einzelnutzern und Organisationen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Einzelnutzer und Organisationen, die Software von inoffiziellen Quellen herunterladen.

Warum relevant

Organisationen könnten unwissentlich Fernzugriffstools installieren, die von Angreifern missbraucht werden, um persistente Kontrolle zu erlangen und weitere bösartige Payloads auszuführen. Dies umgeht traditionelle Sicherheitskontrollen, die legitime Software nicht blockieren.

Realistisches Worst Case

Angreifer erlangen vollständige Kontrolle über Endpunkte, können Daten exfiltrieren, weitere Malware installieren und sich lateral im Netzwerk bewegen, was zu einem umfassenden Datenverlust oder Betriebsunterbrechungen führen kann.

Handlungsempfehlung

Software ausschließlich von offiziellen Quellen herunterladen und robuste Endpoint Detection and Response (EDR)-Lösungen implementieren. Mitarbeiter sollten für die Erkennung verdächtiger Software-Downloads geschult werden.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre EDR-Lösungen auf Warnungen bezüglich der Installation von ScreenConnect-Diensten, insbesondere wenn diese nicht über offizielle Kanäle bereitgestellt wurden.
  • Scannen Sie Endpunkte auf das Vorhandensein von AsyncRAT-Payloads oder ungewöhnlichen Netzwerkverbindungen, die von ScreenConnect-Instanzen ausgehen.
  • Validieren Sie, dass Ihre Richtlinien für Software-Downloads die Installation von Anwendungen aus nicht vertrauenswürdigen Quellen blockieren oder kennzeichnen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1566 PhishingHighEine massive Kampagne verbreitet über gefälschte Websites, die beliebte Software imitieren, bösartige Installer.
Defense EvasionT1574 DLL SideloadingHighDiese nutzen DLL-Sideloading, um den legitimen Fernzugriffsdienst ScreenConnect zu installieren.
PersistenceT1133 External Remote ServicesHighden legitimen Fernzugriffsdienst ScreenConnect zu installieren, der dann eine AsyncRAT-Payload ausführt. Betroffen sind Einzelnutzer und Organisationen, deren Systeme so von Angreifern kontrolliert werden können.
Command and ControlT1071 Application Layer ProtocolLowder dann eine AsyncRAT-Payload ausführt.
Offene Punkte
  • Die spezifischen URLs der über 90 gefälschten Websites sind nicht angegeben.
  • Die genauen Versionen von ScreenConnect, die missbraucht werden, sind nicht spezifiziert.
  • Die spezifischen Branchen oder geografischen Regionen, die am stärksten betroffen sind, sind nicht genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Ja
  • Privilege Escalation relevant?Ja
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir Windows extern erreichbar?
  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?
Themen
Malware TechnologiesRAT TrojanPowerShellInfrastructureThreat huntingMDRDLL sideloadingVBSThe SOC filesSEO