VENOMOUS#HELPER : Campagne de phishing Dual-RMM utilise JWrapper pour déployer SimpleHelp et ScreenConnect pour un accès à distance invisible

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

VENOMOUS#HELPER : Campagne de phishing Dual-RMM utilise JWrapper pour déployer SimpleHelp et ScreenConnect pour un accès à distance invisible

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Une campagne de phishing utilise un site web mexicain compromis pour distribuer un exécutable empaqueté avec JWrapper qui installe les outils de gestion à distance légitimes SimpleHelp et ScreenConnect. Bien que les deux binaires soient signés et généralement dignes de confiance, les attaquants en abusent pour obtenir un accès distant persistant et silencieux via des services Windows et des modifications du registre en mode sans échec. Depuis avril 2025, l’activité a touché plus de 80 organisations aux États-Unis, en Europe occidentale et en Amérique latine. Bien que l’attribution reste floue, la campagne semble être motivée financièrement.

Enquête

Securonix a mené une analyse dynamique de la charge utile livrée et découvert une configuration d’accès à distance à double canal basée sur SimpleHelp 5.0.1 et ConnectWise ScreenConnect. Le malware s’installe comme un service Windows, crée une entrée de registre SafeBoot pour survivre aux redémarrages en mode sans échec, et utilise des boucles de sondage répétées pour identifier les produits de sécurité installés et déterminer si un utilisateur est présent sur la machine. Les enquêteurs ont également découvert qu’un wmic.exe.bak binaire a été utilisé dans la chaîne d’exécution pour aider à contourner les détections basées sur le nom.

Atténuation

Les équipes de sécurité doivent surveiller la création du service Windows Remote Access Service , l’entrée de registre SafeBoot associée, et l’apparition de wmic.exe.bak à l’intérieur du répertoire System32wbem . Les défenses réseau doivent bloquer le trafic UDP sortant vers 84.200.205.233:5555 et le trafic TCP vers sslzeromail.run.place:8041. Les défenseurs doivent également supprimer le service malveillant et les fichiers associés tout en recherchant les utilitaires renommés et autres artefacts liés à l’intrusion.

Réponse

Si cette activité est détectée, isolez immédiatement le système affecté, arrêtez et supprimez le service malveillant, supprimez l’entrée de registre SafeBoot, et retirez le répertoire d’installation JWrapper de l’hôte. Les enquêteurs doivent ensuite effectuer une analyse forensic pour déterminer si un mouvement latéral a eu lieu et mettre à jour la logique de détection pour capturer les chaînes de processus spécifiques et les modèles de commande vus dans la campagne. Les parties prenantes concernées doivent être informées, et une chasse aux menaces plus large doit être envisagée pour identifier d’autres victimes.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation["Action – T1656 Impersonation Email spoofing of US SSA to lure victims"] class action_impersonation action action_phishing["Action – T1566.001 Phishing Spearphishing attachment with link to compromised Mexican domains"] class action_phishing action action_infra["Action – T1584.001 Compromise Infrastructure Compromise legitimate .com.mx sites to host landing page and payload"] class action_infra action action_execution["Action – Execution Victim runs JWrapper‑packed statement5648.exe which extracts config, drops private JRE and launches Java payload"] class action_execution action action_uac["Action – T1548.002 Bypass UAC UAC prompt shows trusted SimpleHelp publisher allowing install"] class action_uac action action_service["Action – T1543.003 Create or Modify System Process Registers Windows service "Remote Access Service""] class action_service action action_safemode["Action – T1562.009 Safe Mode Boot Adds registry key under SafeBoot Network for service persistence"] class action_safemode action malware_simplehelp["Malware – SimpleHelp 5.0.1 (cracked) Remote administration tool signed by SimpleHelp"] class malware_simplehelp malware malware_screenconnect["Malware – ConnectWise ScreenConnect (cracked) Remote administration tool signed by ConnectWise"] class malware_screenconnect malware c2_simplehelp["C2 – UDP 84.200.205.233:5555 Used by SimpleHelp for beaconing"] class c2_simplehelp c2 c2_screenconnect["C2 – TCP sslzeromail.run.place:8041 Used by ScreenConnect relay"] class c2_screenconnect c2 tool_sessionwin["Tool – session_win.exe Steals winlogon.exe token to spawn processes in user session"] class tool_sessionwin tool tool_elevwin["Tool – elev_win.exe Creates processes with CreateProcessAsUserW using stolen token"] class tool_elevwin tool process_netsh["Process – netsh wlan show interfaces Runs every ~15 s to discover network configuration"] class process_netsh process process_wmic["Process – wmic.exe.bak query SecurityCenter2 Runs every ~67 s to discover AV/Firewall products"] class process_wmic process action_masquerade["Action – T1036.003 Masquerading Renames wmic.exe to wmic.exe.bak to hide utility"] class action_masquerade action action_dynamic["Action – T1568 Dynamic Resolution

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation[« Action – T1656 Impersonation Email spoofing of US SSA to lure victims »] class action_impersonation action action_phishing[« Action – T1566.001 Phishing Spearphishing attachment with link to compromised Mexican domains »] class action_phishing action action_infra[« Action – T1584.001 Compromise Infrastructure Compromise legitimate .com.mx sites to host landing page and payload »] class action_infra action action_execution[« Action – Execution Victim runs JWrapper‑packed statement5648.exe which extracts config, drops private JRE and launches Java payload »] class action_execution action action_uac[« Action – T1548.002 Bypass UAC UAC prompt shows trusted SimpleHelp publisher allowing install »] class action_uac action action_service[« Action – T1543.003 Create or Modify System Process Registers Windows service « Remote Access Service » »] class action_service action action_safemode[« Action – T1562.009 Safe Mode Boot Adds registry key under SafeBoot Network for service persistence »] class action_safemode action malware_simplehelp[« Malware – SimpleHelp 5.0.1 (cracked) Remote administration tool signed by SimpleHelp »] class malware_simplehelp malware malware_screenconnect[« Malware – ConnectWise ScreenConnect (cracked) Remote administration tool signed by ConnectWise »] class malware_screenconnect malware c2_simplehelp[« C2 – UDP 84.200.205.233:5555 Used by SimpleHelp for beaconing »] class c2_simplehelp c2 c2_screenconnect[« C2 – TCP sslzeromail.run.place:8041 Used by ScreenConnect relay »] class c2_screenconnect c2 tool_sessionwin[« Tool – session_win.exe Steals winlogon.exe token to spawn processes in user session »] class tool_sessionwin tool tool_elevwin[« Tool – elev_win.exe Creates processes with CreateProcessAsUserW using stolen token »] class tool_elevwin tool process_netsh[« Process – netsh wlan show interfaces Runs every ~15 s to discover network configuration »] class process_netsh process process_wmic[« Process – wmic.exe.bak query SecurityCenter2 Runs every ~67 s to discover AV/Firewall products »] class process_wmic process action_masquerade[« Action – T1036.003 Masquerading Renames wmic.exe to wmic.exe.bak to hide utility »] class action_masquerade action action_dynamic[« Action – T1568 Dynamic Resolution Collects interface info to adapt C2 endpoints »] class action_dynamic action %% Flow Connections action_impersonation –>|leads_to| action_phishing action_phishing –>|uses| action_infra action_infra –>|hosts| action_execution action_execution –>|triggers| action_uac action_uac –>|enables| action_service action_service –>|adds| action_safemode action_safemode –>|supports| malware_simplehelp malware_simplehelp –>|communicates with| c2_simplehelp malware_screenconnect –>|communicates with| c2_screenconnect malware_simplehelp –>|installs| tool_sessionwin malware_screenconnect –>|installs| tool_elevwin tool_sessionwin –>|performs| action_masquerade tool_elevwin –>|executes| process_netsh process_netsh –>|feeds| action_dynamic process_wmic –>|feeds| action_dynamic action_dynamic –>|informs| c2_screenconnect action_dynamic –>|informs| c2_simplehelp tool_sessionwin –>|performs| action_masquerade process_wmic –>|performs| action_masquerade %% Class Assignments class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Flux d’attaque

Narrative & Commandes de l’attaque :

L’attaquant reçoit une pièce jointe de phishing (T1566.001) qui dépose une charge utile malveillante appelée statement5648.exe dans le répertoire %TEMP% . Pour échapper à la détection, le fichier est signé avec un certificat valide (code obscurci – T1027) et est exécuté en tant que service Windows (T1543.003) pour persister. Parce que le nom de l’exécutable correspond à l’un des suffixes de la règle, Sysmon enregistre un EventID 1 avec Image se terminant par statement5648.exe, ce qui devrait déclencher la règle de détection. L’attaquant désactive également l’antivirus (T1562.009) et tente un contournement UAC (T1548.002) pour obtenir des privilèges élevés.

Script de test de régression :

#------------------------------------------------------------
# Simulation de campagne de phishing Dual‑RMM – déclenche la règle Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Déposer un exécutable factice (copie de notepad.exe) et renommer
Write-Host "[*] Dépôt de la charge utile masquée vers $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Créer un service Windows qui exécute la charge utile (persistance)
Write-Host "[*] Installation du service $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Démarrez le service – cela génère un événement ProcessCreate de Sysmon
Write-Host "[*] Démarrage du service $serviceName"
sc.exe start $serviceName > $null

# 4. OPTIONNEL : Simulez le contournement UAC / l'usurpation de jeton (placeholders)
#    Lors d'une véritable exécution en équipe rouge, cela impliquerait Invoke-BypassUAC ou similaire.
Write-Host "[*] Simulation terminée – vérifier SIEM pour détection."
#------------------------------------------------------------

Commandes de nettoyage :

#------------------------------------------------------------
# Nettoyage pour la simulation Dual‑RMM
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Arrêter et supprimer le service
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Supprimer l'exécutable fictif
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Nettoyage terminé."
#------------------------------------------------------------

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement