VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff

SOC Prime Team

Folgen

VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Eine Phishing-Kampagne hat eine kompromittierte mexikanische Website genutzt, um ein mit JWrapper gepacktes ausführbares Programm zu verteilen, das die legitimen Remote-Management-Tools SimpleHelp und ScreenConnect installiert. Obwohl beide Binärdateien signiert und normalerweise vertrauenswürdig sind, missbrauchen die Angreifer sie, um über Windows-Dienste und Änderungen in der Safe-Mode-Registrierung einen persistierenden, stillen Fernzugriff zu erhalten. Seit April 2025 hat diese Aktivität mehr als 80 Organisationen in den Vereinigten Staaten, Westeuropa und Lateinamerika betroffen. Obwohl die Zuschreibung unklar bleibt, scheint die Kampagne finanziell motiviert zu sein.

Untersuchung

Securonix führte eine dynamische Analyse der gelieferten Nutzlast durch und entdeckte eine zweikanalige Fernzugriffskonfiguration, die auf SimpleHelp 5.0.1 und ConnectWise ScreenConnect basiert. Die Malware installiert sich als Windows-Dienst, erstellt einen SafeBoot-Registrierungseintrag, um Neustarts im abgesicherten Modus zu überstehen, und verwendet wiederholte Abfrageschleifen, um installierte Sicherheitsprodukte zu identifizieren und festzustellen, ob ein Benutzer am Rechner anwesend ist. Ermittler fanden auch heraus, dass ein umbenanntes wmic.exe.bak Binary als Teil der Ausführungskette verwendet wurde, um namensbasierte Erkennungen zu umgehen.

Abmilderung

Sicherheitsteams sollten die Erstellung des Remote Access Service Windows-Dienstes überwachen, den zugehörigen SafeBoot-Registrierungseintrag und das Auftreten von wmic.exe.bak im System32wbem Verzeichnis. Netzwerkschutzmaßnahmen sollten ausgehenden UDP-Verkehr zu 84.200.205.233:5555 und TCP-Verkehr zu sslzeromail.run.place:8041blockieren. Verteidiger sollten auch den bösartigen Dienst und die zugehörigen Dateien entfernen, während sie nach umbenannten Hilfsprogrammen und anderen Artefakten suchen, die mit dem Eindringen verbunden sind.

Reaktion

Wird diese Aktivität entdeckt, sollten das betroffene System sofort isoliert, der bösartige Dienst gestoppt und entfernt, der SafeBoot-Registrierungseintrag gelöscht und das JWrapper-Installationsverzeichnis vom Host entfernt werden. Ermittler sollten dann eine forensische Analyse durchführen, um festzustellen, ob es zu einer seitlichen Bewegung gekommen ist, und die Erkennungslogik aktualisieren, um die spezifischen Prozessketten und Befehlsmuster der Kampagne zu erfassen. Relevante Stakeholder sollten informiert und umfassendere Bedrohungssuche in Betracht gezogen werden, um weitere Opfer zu identifizieren.

graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Knoten action_impersonation[„Aktion – T1656 Identitätsvortäuschung E-Mail-Spoofing der US-SSA zur Täuschung von Opfern“] class action_impersonation action action_phishing[„Aktion – T1566.001 Phishing Spearphishing-Anhang mit Link zu kompromittierten mexikanischen Domains“] class action_phishing action action_infra[„Aktion – T1584.001 Infrastruktur kompromittieren Kompromittierung legitimer .com.mx-Websites zum Hosting der Landingpage und der Payload“] class action_infra action action_execution[„Aktion – Ausführung Das Opfer führt die mit JWrapper gepackte Datei statement5648.exe aus, die die Konfiguration extrahiert, eine private JRE ablegt und die Java-Payload startet“] class action_execution action action_uac[„Aktion – T1548.002 UAC-Umgehung Die UAC-Abfrage zeigt einen vertrauenswürdigen SimpleHelp-Herausgeber an und erlaubt die Installation“] class action_uac action action_service[„Aktion – T1543.003 Systemprozess erstellen oder ändern Registriert den Windows-Dienst \“Remote Access Service\““] class action_service action action_safemode[„Aktion – T1562.009 Abgesicherter Modus Fügt einen Registrierungsschlüssel unter SafeBoot Network zur Dienstpersistenz hinzu“] class action_safemode action malware_simplehelp[„Malware – SimpleHelp 5.0.1 (gecrackt) Von SimpleHelp signiertes Fernverwaltungswerkzeug“] class malware_simplehelp malware malware_screenconnect[„Malware – ConnectWise ScreenConnect (gecrackt) Von ConnectWise signiertes Fernverwaltungswerkzeug“] class malware_screenconnect malware c2_simplehelp[„C2 – UDP 84.200.205.233:5555 Von SimpleHelp für Beaconing verwendet“] class c2_simplehelp c2 c2_screenconnect[„C2 – TCP sslzeromail.run.place:8041 Vom ScreenConnect-Relay verwendet“] class c2_screenconnect c2 tool_sessionwin[„Werkzeug – session_win.exe Stiehlt das winlogon.exe-Token, um Prozesse in der Benutzersitzung zu erzeugen“] class tool_sessionwin tool tool_elevwin[„Werkzeug – elev_win.exe Erstellt Prozesse mit CreateProcessAsUserW unter Verwendung des gestohlenen Tokens“] class tool_elevwin tool process_netsh[„Prozess – netsh wlan show interfaces Wird etwa alle 15 Sekunden ausgeführt, um die Netzwerkkonfiguration zu ermitteln“] class process_netsh process process_wmic[„Prozess – wmic.exe.bak query SecurityCenter2 Wird etwa alle 67 Sekunden ausgeführt, um AV-/Firewall-Produkte zu ermitteln“] class process_wmic process action_masquerade[„Aktion – T1036.003 Tarnung Benennt wmic.exe in wmic.exe.bak um, um das Dienstprogramm zu verbergen“] class action_masquerade action action_dynamic[„Aktion – T1568 Dynamische Auflösung Sammelt Schnittstelleninformationen zur Anpassung der C2-Endpunkte“] class action_dynamic action %% Ablaufverbindungen action_impersonation –>|führt_zu| action_phishing action_phishing –>|verwendet| action_infra action_infra –>|hostet| action_execution action_execution –>|löst_aus| action_uac action_uac –>|aktiviert| action_service action_service –>|fügt_hinzu| action_safemode action_safemode –>|unterstützt| malware_simplehelp malware_simplehelp –>|kommuniziert mit| c2_simplehelp malware_screenconnect –>|kommuniziert mit| c2_screenconnect malware_simplehelp –>|installiert| tool_sessionwin malware_screenconnect –>|installiert| tool_elevwin tool_sessionwin –>|führt_aus| action_masquerade tool_elevwin –>|führt_aus| process_netsh process_netsh –>|liefert_an| action_dynamic process_wmic –>|liefert_an| action_dynamic action_dynamic –>|informiert| c2_screenconnect action_dynamic –>|informiert| c2_simplehelp tool_sessionwin –>|führt_aus| action_masquerade process_wmic –>|führt_aus| action_masquerade %% Klassenzuweisungen class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Angriffsfluss

Angriffs-Narrativ & Befehle:

Der Angreifer erhält einen Phishing-Anhang (T1566.001), der eine bösartige Nutzlast namens statement5648.exe im %TEMP% Verzeichnis ablegt. Um der Erkennung zu entgehen, wird die Datei mit einem gültigen Zertifikat signiert (verschlüsselter Code – T1027) und als Windows-Dienst (T1543.003) ausgeführt, um persistierend zu bleiben. Da der Name der Ausführungsdatei einem der Suffixe in der Regel entspricht, zeichnet Sysmon ein EventID 1 mit Image , das in statement5648.exeendet, was die Erkennungsvorschrift auslösen sollte. Der Angreifer deaktiviert auch Antiviren (T1562.009) und versucht eine UAC-Umgehung (T1548.002), um erweiterte Rechte zu erlangen.

Regressionstest-Skript:

#------------------------------------------------------------
# Dual‑RMM-Phishing-Kampagnensimulation – löst Sigma-Regel aus
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Eine Dummy-Executable (Kopie von notepad.exe) ablegen und umbenennen
Write-Host "[*] Ablegen der maskierten Nutzlast auf $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Erstellen eines Windows-Dienstes, der die Nutzlast ausführt (Persistenz)
Write-Host "[*] Installation des Dienstes $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Starten des Dienstes – dies generiert ein Sysmon ProcessCreate-Ereignis
Write-Host "[*] Starten des Dienstes $serviceName"
sc.exe start $serviceName > $null

# 4. OPTIONAL: UAC-Umgehung / Token-Impersonation simulieren (no‑op-Platzhalter)
#    In einem echten Red-Team-Durchlauf würde dies Invoke-BypassUAC oder ähnliches beinhalten.
Write-Host "[*] Simulation abgeschlossen – Überprüfen Sie SIEM auf Erkennung."
#------------------------------------------------------------

Bereinigungsbefehle:

#------------------------------------------------------------
# Bereinigung für Dual‑RMM-Simulation
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Dienst stoppen und löschen
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Entfernen der gefälschten Ausführbaren
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Bereinigung abgeschlossen."
#------------------------------------------------------------

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten