SOC Prime Bias: Mittel

06 May 2026 11:31 UTC

VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff

Author Photo
SOC Prime Team linkedin icon Folgen
VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Eine Phishing-Kampagne hat eine kompromittierte mexikanische Website genutzt, um ein mit JWrapper gepacktes ausführbares Programm zu verteilen, das die legitimen Remote-Management-Tools SimpleHelp und ScreenConnect installiert. Obwohl beide Binärdateien signiert und normalerweise vertrauenswürdig sind, missbrauchen die Angreifer sie, um über Windows-Dienste und Änderungen in der Safe-Mode-Registrierung einen persistierenden, stillen Fernzugriff zu erhalten. Seit April 2025 hat diese Aktivität mehr als 80 Organisationen in den Vereinigten Staaten, Westeuropa und Lateinamerika betroffen. Obwohl die Zuschreibung unklar bleibt, scheint die Kampagne finanziell motiviert zu sein.

Untersuchung

Securonix führte eine dynamische Analyse der gelieferten Nutzlast durch und entdeckte eine zweikanalige Fernzugriffskonfiguration, die auf SimpleHelp 5.0.1 und ConnectWise ScreenConnect basiert. Die Malware installiert sich als Windows-Dienst, erstellt einen SafeBoot-Registrierungseintrag, um Neustarts im abgesicherten Modus zu überstehen, und verwendet wiederholte Abfrageschleifen, um installierte Sicherheitsprodukte zu identifizieren und festzustellen, ob ein Benutzer am Rechner anwesend ist. Ermittler fanden auch heraus, dass ein umbenanntes wmic.exe.bak Binary als Teil der Ausführungskette verwendet wurde, um namensbasierte Erkennungen zu umgehen.

Abmilderung

Sicherheitsteams sollten die Erstellung des Remote Access Service Windows-Dienstes überwachen, den zugehörigen SafeBoot-Registrierungseintrag und das Auftreten von wmic.exe.bak im System32wbem Verzeichnis. Netzwerkschutzmaßnahmen sollten ausgehenden UDP-Verkehr zu 84.200.205.233:5555 und TCP-Verkehr zu sslzeromail.run.place:8041blockieren. Verteidiger sollten auch den bösartigen Dienst und die zugehörigen Dateien entfernen, während sie nach umbenannten Hilfsprogrammen und anderen Artefakten suchen, die mit dem Eindringen verbunden sind.

Reaktion

Wird diese Aktivität entdeckt, sollten das betroffene System sofort isoliert, der bösartige Dienst gestoppt und entfernt, der SafeBoot-Registrierungseintrag gelöscht und das JWrapper-Installationsverzeichnis vom Host entfernt werden. Ermittler sollten dann eine forensische Analyse durchführen, um festzustellen, ob es zu einer seitlichen Bewegung gekommen ist, und die Erkennungslogik aktualisieren, um die spezifischen Prozessketten und Befehlsmuster der Kampagne zu erfassen. Relevante Stakeholder sollten informiert und umfassendere Bedrohungssuche in Betracht gezogen werden, um weitere Opfer zu identifizieren.

Angriffsfluss

Erkennungen

SimpleHelp-Agent, ausgeführt aus dem JWrapper-Remote-Access-Verzeichnis (via process_creation)

SOC Prime Team
05. Mai 2026

Mögliche Antivirus- oder Firewall-Software-Erkennung (via process_creation)

SOC Prime Team
05. Mai 2026

Alternative Remote-Access-/Management-Software (via process_creation)

SOC Prime Team
05. Mai 2026

Möglicher Versuch zur Nutzung von SimpleHelp RMM (via file_event)

SOC Prime Team
05. Mai 2026

IOCs (HashSha512) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff

SOC Prime AI-Regeln
05. Mai 2026

IOCs (HashSha256) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff

SOC Prime AI-Regeln
05. Mai 2026

IOCs (HashMd5) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff

SOC Prime AI-Regeln
05. Mai 2026

IOCs (SourceIP) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff

SOC Prime AI-Regeln
05. Mai 2026

IOCs (DestinationIP) zur Erkennung: VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne unter Ausnutzung von JWrapper-Verpacktem SimpleHelp und ScreenConnect für stillen Remote-Zugriff

SOC Prime AI-Regeln
05. Mai 2026

Überwachung potenzieller RAT-Aktivität durch umbenannte wmic.exe und WiFi-Schnittstellenbefehle [Windows Sysmon]

SOC Prime AI-Regeln
05. Mai 2026

Erkennung der Dual-RMM-Phishing-Kampagne unter Verwendung von SimpleHelp und ScreenConnect [Windows-Prozesserstellung]

SOC Prime AI-Regeln
05. Mai 2026

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Basislinien-Vorabkontrolle muss bestanden werden.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die dazu ausgelegt ist, die Erkennungsvorschrift auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, genau die Telemetrie zu generieren, die von der Erkennung erwartete wird.

  • Angriffs-Narrativ & Befehle:

    Der Angreifer erhält einen Phishing-Anhang (T1566.001), der eine bösartige Nutzlast namens statement5648.exe im %TEMP% Verzeichnis ablegt. Um der Erkennung zu entgehen, wird die Datei mit einem gültigen Zertifikat signiert (verschlüsselter Code – T1027) und als Windows-Dienst (T1543.003) ausgeführt, um persistierend zu bleiben. Da der Name der Ausführungsdatei einem der Suffixe in der Regel entspricht, zeichnet Sysmon ein EventID 1 mit Image , das in statement5648.exeendet, was die Erkennungsvorschrift auslösen sollte. Der Angreifer deaktiviert auch Antiviren (T1562.009) und versucht eine UAC-Umgehung (T1548.002), um erweiterte Rechte zu erlangen.

  • Regressionstest-Skript:

    #------------------------------------------------------------
    # Dual‑RMM-Phishing-Kampagnensimulation – löst Sigma-Regel aus
    #------------------------------------------------------------
    $payloadPath = "$env:TEMPstatement5648.exe"
    $serviceName = "DualRMMHelper"
    
    # 1. Eine Dummy-Executable (Kopie von notepad.exe) ablegen und umbenennen
    Write-Host "[*] Ablegen der maskierten Nutzlast auf $payloadPath"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force
    
    # 2. Erstellen eines Windows-Dienstes, der die Nutzlast ausführt (Persistenz)
    Write-Host "[*] Installation des Dienstes $serviceName"
    sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null
    
    # 3. Starten des Dienstes – dies generiert ein Sysmon ProcessCreate-Ereignis
    Write-Host "[*] Starten des Dienstes $serviceName"
    sc.exe start $serviceName > $null
    
    # 4. OPTIONAL: UAC-Umgehung / Token-Impersonation simulieren (no‑op-Platzhalter)
    #    In einem echten Red-Team-Durchlauf würde dies Invoke-BypassUAC oder ähnliches beinhalten.
    Write-Host "[*] Simulation abgeschlossen – Überprüfen Sie SIEM auf Erkennung."
    #------------------------------------------------------------
  • Bereinigungsbefehle:

    #------------------------------------------------------------
    # Bereinigung für Dual‑RMM-Simulation
    #------------------------------------------------------------
    $serviceName = "DualRMMHelper"
    $payloadPath = "$env:TEMPstatement5648.exe"
    
    # Dienst stoppen und löschen
    sc.exe stop $serviceName > $null
    sc.exe delete $serviceName > $null
    
    # Entfernen der gefälschten Ausführbaren
    Remove-Item -Path $payloadPath -Force
    
    Write-Host "[*] Bereinigung abgeschlossen."
    #------------------------------------------------------------