The SOC Files: ScreenConnect masked as freeware. An inside look at a large-scale campaign
Eine massive Kampagne verbreitet über gefälschte Websites, die beliebte Software imitieren, bösartige Installer. Diese nutzen DLL-Sideloading, um den legitimen Fernzugriffsdienst ScreenConnect zu installieren, der dann eine AsyncRAT-Payload ausführt. Betroffen sind Einzelnutzer und Organisationen, deren Systeme so von Angreifern kontrolliert werden können. Nutzer sollten Software nur von offiziellen Quellen herunterladen und auf verdächtige Aktivitäten achten.
Eine groß angelegte Kampagne verbreitet bösartige Installer über gefälschte Websites, die beliebte Software imitieren. Diese Installer nutzen DLL-Sideloading, um den legitimen Fernzugriffsdienst ScreenConnect zu installieren, der dann eine AsyncRAT-Payload ausführt. Dies ermöglicht Angreifern die Kontrolle über kompromittierte Systeme von Einzelnutzern und Organisationen.
Einzelnutzer und Organisationen, die Software von inoffiziellen Quellen herunterladen.
Organisationen könnten unwissentlich Fernzugriffstools installieren, die von Angreifern missbraucht werden, um persistente Kontrolle zu erlangen und weitere bösartige Payloads auszuführen. Dies umgeht traditionelle Sicherheitskontrollen, die legitime Software nicht blockieren.
Angreifer erlangen vollständige Kontrolle über Endpunkte, können Daten exfiltrieren, weitere Malware installieren und sich lateral im Netzwerk bewegen, was zu einem umfassenden Datenverlust oder Betriebsunterbrechungen führen kann.
Software ausschließlich von offiziellen Quellen herunterladen und robuste Endpoint Detection and Response (EDR)-Lösungen implementieren. Mitarbeiter sollten für die Erkennung verdächtiger Software-Downloads geschult werden.
- ▸Überprüfen Sie Ihre EDR-Lösungen auf Warnungen bezüglich der Installation von ScreenConnect-Diensten, insbesondere wenn diese nicht über offizielle Kanäle bereitgestellt wurden.
- ▸Scannen Sie Endpunkte auf das Vorhandensein von AsyncRAT-Payloads oder ungewöhnlichen Netzwerkverbindungen, die von ScreenConnect-Instanzen ausgehen.
- ▸Validieren Sie, dass Ihre Richtlinien für Software-Downloads die Installation von Anwendungen aus nicht vertrauenswürdigen Quellen blockieren oder kennzeichnen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Eine massive Kampagne verbreitet über gefälschte Websites, die beliebte Software imitieren, bösartige Installer. |
| Defense Evasion | T1574 DLL Sideloading | High | Diese nutzen DLL-Sideloading, um den legitimen Fernzugriffsdienst ScreenConnect zu installieren. |
| Persistence | T1133 External Remote Services | High | den legitimen Fernzugriffsdienst ScreenConnect zu installieren, der dann eine AsyncRAT-Payload ausführt. Betroffen sind Einzelnutzer und Organisationen, deren Systeme so von Angreifern kontrolliert werden können. |
| Command and Control | T1071 Application Layer Protocol | Low | der dann eine AsyncRAT-Payload ausführt. |
- Die spezifischen URLs der über 90 gefälschten Websites sind nicht angegeben.
- Die genauen Versionen von ScreenConnect, die missbraucht werden, sind nicht spezifiziert.
- Die spezifischen Branchen oder geografischen Regionen, die am stärksten betroffen sind, sind nicht genannt.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Ja
- Privilege Escalation relevant?Ja
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir Windows extern erreichbar?
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?