VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Phishing-Kampagne hat eine kompromittierte mexikanische Website genutzt, um ein mit JWrapper gepacktes ausführbares Programm zu verteilen, das die legitimen Remote-Management-Tools SimpleHelp und ScreenConnect installiert. Obwohl beide Binärdateien signiert und normalerweise vertrauenswürdig sind, missbrauchen die Angreifer sie, um über Windows-Dienste und Änderungen in der Safe-Mode-Registrierung einen persistierenden, stillen Fernzugriff zu erhalten. Seit April 2025 hat diese Aktivität mehr als 80 Organisationen in den Vereinigten Staaten, Westeuropa und Lateinamerika betroffen. Obwohl die Zuschreibung unklar bleibt, scheint die Kampagne finanziell motiviert zu sein.
Untersuchung
Securonix führte eine dynamische Analyse der gelieferten Nutzlast durch und entdeckte eine zweikanalige Fernzugriffskonfiguration, die auf SimpleHelp 5.0.1 und ConnectWise ScreenConnect basiert. Die Malware installiert sich als Windows-Dienst, erstellt einen SafeBoot-Registrierungseintrag, um Neustarts im abgesicherten Modus zu überstehen, und verwendet wiederholte Abfrageschleifen, um installierte Sicherheitsprodukte zu identifizieren und festzustellen, ob ein Benutzer am Rechner anwesend ist. Ermittler fanden auch heraus, dass ein umbenanntes wmic.exe.bak Binary als Teil der Ausführungskette verwendet wurde, um namensbasierte Erkennungen zu umgehen.
Abmilderung
Sicherheitsteams sollten die Erstellung des Remote Access Service Windows-Dienstes überwachen, den zugehörigen SafeBoot-Registrierungseintrag und das Auftreten von wmic.exe.bak im System32wbem Verzeichnis. Netzwerkschutzmaßnahmen sollten ausgehenden UDP-Verkehr zu 84.200.205.233:5555 und TCP-Verkehr zu sslzeromail.run.place:8041blockieren. Verteidiger sollten auch den bösartigen Dienst und die zugehörigen Dateien entfernen, während sie nach umbenannten Hilfsprogrammen und anderen Artefakten suchen, die mit dem Eindringen verbunden sind.
Reaktion
Wird diese Aktivität entdeckt, sollten das betroffene System sofort isoliert, der bösartige Dienst gestoppt und entfernt, der SafeBoot-Registrierungseintrag gelöscht und das JWrapper-Installationsverzeichnis vom Host entfernt werden. Ermittler sollten dann eine forensische Analyse durchführen, um festzustellen, ob es zu einer seitlichen Bewegung gekommen ist, und die Erkennungslogik aktualisieren, um die spezifischen Prozessketten und Befehlsmuster der Kampagne zu erfassen. Relevante Stakeholder sollten informiert und umfassendere Bedrohungssuche in Betracht gezogen werden, um weitere Opfer zu identifizieren.
Angriffsfluss
Erkennungen
SimpleHelp-Agent, ausgeführt aus dem JWrapper-Remote-Access-Verzeichnis (via process_creation)
Ansehen
Mögliche Antivirus- oder Firewall-Software-Erkennung (via process_creation)
Ansehen
Alternative Remote-Access-/Management-Software (via process_creation)
Ansehen
Möglicher Versuch zur Nutzung von SimpleHelp RMM (via file_event)
Ansehen
IOCs (HashSha512) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff
Ansehen
IOCs (HashSha256) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff
Ansehen
IOCs (HashMd5) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff
Ansehen
IOCs (SourceIP) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff
Ansehen
IOCs (DestinationIP) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff
Ansehen
Überwachung potenzieller RAT-Aktivität durch umbenannte wmic.exe und WiFi-Schnittstellenbefehle [Windows Sysmon]
Ansehen
Erkennung der Dual-RMM-Phishing-Kampagne unter Verwendung von SimpleHelp und ScreenConnect [Windows-Prozesserstellung]
Ansehen
Simulation Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorabkontrolle muss bestanden werden.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu ausgelegt ist, die Erkennungsvorschrift auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennung erwartete wird.
-
Angriffs-Narrativ & Befehle:
Der Angreifer erhält einen Phishing-Anhang (T1566.001), der eine bösartige Nutzlast namens
statement5648.exeim%TEMP%Verzeichnis ablegt. Um der Erkennung zu entgehen, wird die Datei mit einem gültigen Zertifikat signiert (verschlüsselter Code – T1027) und als Windows-Dienst (T1543.003) ausgeführt, um persistierend zu bleiben. Da der Name der Ausführungsdatei einem der Suffixe in der Regel entspricht, zeichnet Sysmon ein EventID 1 mitImage, das instatement5648.exeendet, was die Erkennungsvorschrift auslösen sollte. Der Angreifer deaktiviert auch Antiviren (T1562.009) und versucht eine UAC-Umgehung (T1548.002), um erweiterte Rechte zu erlangen. -
Regressionstest-Skript:
#------------------------------------------------------------ # Dual‑RMM-Phishing-Kampagnensimulation – löst Sigma-Regel aus #------------------------------------------------------------ $payloadPath = "$env:TEMPstatement5648.exe" $serviceName = "DualRMMHelper" # 1. Eine Dummy-Executable (Kopie von notepad.exe) ablegen und umbenennen Write-Host "[*] Ablegen der maskierten Nutzlast auf $payloadPath" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force # 2. Erstellen eines Windows-Dienstes, der die Nutzlast ausführt (Persistenz) Write-Host "[*] Installation des Dienstes $serviceName" sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null # 3. Starten des Dienstes – dies generiert ein Sysmon ProcessCreate-Ereignis Write-Host "[*] Starten des Dienstes $serviceName" sc.exe start $serviceName > $null # 4. OPTIONAL: UAC-Umgehung / Token-Impersonation simulieren (no‑op-Platzhalter) # In einem echten Red-Team-Durchlauf würde dies Invoke-BypassUAC oder ähnliches beinhalten. Write-Host "[*] Simulation abgeschlossen – Überprüfen Sie SIEM auf Erkennung." #------------------------------------------------------------ -
Bereinigungsbefehle:
#------------------------------------------------------------ # Bereinigung für Dual‑RMM-Simulation #------------------------------------------------------------ $serviceName = "DualRMMHelper" $payloadPath = "$env:TEMPstatement5648.exe" # Dienst stoppen und löschen sc.exe stop $serviceName > $null sc.exe delete $serviceName > $null # Entfernen der gefälschten Ausführbaren Remove-Item -Path $payloadPath -Force Write-Host "[*] Bereinigung abgeschlossen." #------------------------------------------------------------