VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

VENOMOUS#HELPER: Dual-RMM-Phishing-Kampagne nutzt JWrapper-verpacktes SimpleHelp und ScreenConnect für lautlosen Fernzugriff

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Eine Phishing-Kampagne hat eine kompromittierte mexikanische Website genutzt, um ein mit JWrapper gepacktes ausführbares Programm zu verteilen, das die legitimen Remote-Management-Tools SimpleHelp und ScreenConnect installiert. Obwohl beide Binärdateien signiert und normalerweise vertrauenswürdig sind, missbrauchen die Angreifer sie, um über Windows-Dienste und Änderungen in der Safe-Mode-Registrierung einen persistierenden, stillen Fernzugriff zu erhalten. Seit April 2025 hat diese Aktivität mehr als 80 Organisationen in den Vereinigten Staaten, Westeuropa und Lateinamerika betroffen. Obwohl die Zuschreibung unklar bleibt, scheint die Kampagne finanziell motiviert zu sein.

Untersuchung

Securonix führte eine dynamische Analyse der gelieferten Nutzlast durch und entdeckte eine zweikanalige Fernzugriffskonfiguration, die auf SimpleHelp 5.0.1 und ConnectWise ScreenConnect basiert. Die Malware installiert sich als Windows-Dienst, erstellt einen SafeBoot-Registrierungseintrag, um Neustarts im abgesicherten Modus zu überstehen, und verwendet wiederholte Abfrageschleifen, um installierte Sicherheitsprodukte zu identifizieren und festzustellen, ob ein Benutzer am Rechner anwesend ist. Ermittler fanden auch heraus, dass ein umbenanntes wmic.exe.bak Binary als Teil der Ausführungskette verwendet wurde, um namensbasierte Erkennungen zu umgehen.

Abmilderung

Sicherheitsteams sollten die Erstellung des Remote Access Service Windows-Dienstes überwachen, den zugehörigen SafeBoot-Registrierungseintrag und das Auftreten von wmic.exe.bak im System32wbem Verzeichnis. Netzwerkschutzmaßnahmen sollten ausgehenden UDP-Verkehr zu 84.200.205.233:5555 und TCP-Verkehr zu sslzeromail.run.place:8041blockieren. Verteidiger sollten auch den bösartigen Dienst und die zugehörigen Dateien entfernen, während sie nach umbenannten Hilfsprogrammen und anderen Artefakten suchen, die mit dem Eindringen verbunden sind.

Reaktion

Wird diese Aktivität entdeckt, sollten das betroffene System sofort isoliert, der bösartige Dienst gestoppt und entfernt, der SafeBoot-Registrierungseintrag gelöscht und das JWrapper-Installationsverzeichnis vom Host entfernt werden. Ermittler sollten dann eine forensische Analyse durchführen, um festzustellen, ob es zu einer seitlichen Bewegung gekommen ist, und die Erkennungslogik aktualisieren, um die spezifischen Prozessketten und Befehlsmuster der Kampagne zu erfassen. Relevante Stakeholder sollten informiert und umfassendere Bedrohungssuche in Betracht gezogen werden, um weitere Opfer zu identifizieren.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation["Action – T1656 Impersonation Email spoofing of US SSA to lure victims"] class action_impersonation action action_phishing["Action – T1566.001 Phishing Spearphishing attachment with link to compromised Mexican domains"] class action_phishing action action_infra["Action – T1584.001 Compromise Infrastructure Compromise legitimate .com.mx sites to host landing page and payload"] class action_infra action action_execution["Action – Execution Victim runs JWrapper‑packed statement5648.exe which extracts config, drops private JRE and launches Java payload"] class action_execution action action_uac["Action – T1548.002 Bypass UAC UAC prompt shows trusted SimpleHelp publisher allowing install"] class action_uac action action_service["Action – T1543.003 Create or Modify System Process Registers Windows service "Remote Access Service""] class action_service action action_safemode["Action – T1562.009 Safe Mode Boot Adds registry key under SafeBoot Network for service persistence"] class action_safemode action malware_simplehelp["Malware – SimpleHelp 5.0.1 (cracked) Remote administration tool signed by SimpleHelp"] class malware_simplehelp malware malware_screenconnect["Malware – ConnectWise ScreenConnect (cracked) Remote administration tool signed by ConnectWise"] class malware_screenconnect malware c2_simplehelp["C2 – UDP 84.200.205.233:5555 Used by SimpleHelp for beaconing"] class c2_simplehelp c2 c2_screenconnect["C2 – TCP sslzeromail.run.place:8041 Used by ScreenConnect relay"] class c2_screenconnect c2 tool_sessionwin["Tool – session_win.exe Steals winlogon.exe token to spawn processes in user session"] class tool_sessionwin tool tool_elevwin["Tool – elev_win.exe Creates processes with CreateProcessAsUserW using stolen token"] class tool_elevwin tool process_netsh["Process – netsh wlan show interfaces Runs every ~15 s to discover network configuration"] class process_netsh process process_wmic["Process – wmic.exe.bak query SecurityCenter2 Runs every ~67 s to discover AV/Firewall products"] class process_wmic process action_masquerade["Action – T1036.003 Masquerading Renames wmic.exe to wmic.exe.bak to hide utility"] class action_masquerade action action_dynamic["Action – T1568 Dynamic Resolution

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation[„Aktion – T1656 Vortäuschung E-Mail-Spoofing der US SSA, um Opfer zu ködern“] class action_impersonation action action_phishing[„Aktion – T1566.001 Phishing Spear-Phishing-Anhang mit Link zu kompromittierten mexikanischen Domains“] class action_phishing action action_infra[„Aktion – T1584.001 Infrastruktur-Kompromittierung Kompromittierung legitimer .com.mx-Seiten zur Bereitstellung von Landingpage und Nutzlast“] class action_infra action action_execution[„Aktion – Ausführung Das Opfer führt JWrapper-verpackte statement5648.exe aus, die Konfiguration extrahiert, private JRE ablegt und Java-Nutzlast startet“] class action_execution action action_uac[„Aktion – T1548.002 UAC-Umgehung UAC-Eingabeaufforderung zeigt vertrauenswürdigen SimpleHelp-Herausgeber, der die Installation ermöglicht“] class action_uac action action_service[„Aktion – T1543.003 Erstellen oder Ändern eines Systemprozesses Registriert Windows-Dienst „Remote Access Service““] class action_service action action_safemode[„Aktion – T1562.009 Abgesicherter Modus Start Fügt Registrierungsschlüssel unter SafeBoot-Netzwerk für Dienstpersitenz hinzu“] class action_safemode action malware_simplehelp[„Malware – SimpleHelp 5.0.1 (gecrackt) Fernwartungswerkzeug, signiert von SimpleHelp“] class malware_simplehelp malware malware_screenconnect[„Malware – ConnectWise ScreenConnect (gecrackt) Fernwartungswerkzeug, signiert von ConnectWise“] class malware_screenconnect malware c2_simplehelp[„C2 – UDP 84.200.205.233:5555 Wird von SimpleHelp für Beaconing verwendet“] class c2_simplehelp c2 c2_screenconnect[„C2 – TCP sslzeromail.run.place:8041 Wird von ScreenConnect-Relay verwendet“] class c2_screenconnect c2 tool_sessionwin[„Werkzeug – session_win.exe Stiehlt winlogon.exe-Token, um Prozesse im Benutzersitzung zu initiieren“] class tool_sessionwin tool tool_elevwin[„Werkzeug – elev_win.exe Erstellt Prozesse mit CreateProcessAsUserW unter Verwendung des gestohlenen Tokens“] class tool_elevwin tool process_netsh[„Prozess – netsh wlan show interfaces Wird etwa alle 15 s ausgeführt, um Netzwerkkonfiguration zu entdecken“] class process_netsh process process_wmic[„Prozess – wmic.exe.bak query SecurityCenter2 Wird etwa alle 67 s ausgeführt, um AV/Firewall-Produkte zu erkennen“] class process_wmic process action_masquerade[„Aktion – T1036.003 Vortäuschung Benennt wmic.exe in wmic.exe.bak um, um Dienstprogramm zu verbergen“] class action_masquerade action action_dynamic[„Aktion – T1568 Dynamische Auflösung Sammelt Schnittstelleninformationen zum Anpassen der C2-Endpunkte“] class action_dynamic action %% Flow Connections action_impersonation –>|leads_to| action_phishing action_phishing –>|uses| action_infra action_infra –>|hosts| action_execution action_execution –>|triggers| action_uac action_uac –>|enables| action_service action_service –>|adds| action_safemode action_safemode –>|supports| malware_simplehelp malware_simplehelp –>|kommuniziert mit| c2_simplehelp malware_screenconnect –>|kommuniziert mit| c2_screenconnect malware_simplehelp –>|installiert| tool_sessionwin malware_screenconnect –>|installiert| tool_elevwin tool_sessionwin –>|führt aus| action_masquerade tool_elevwin –>|führt aus| process_netsh process_netsh –>|ermöglicht| action_dynamic process_wmic –>|ermöglicht| action_dynamic action_dynamic –>|informiert| c2_screenconnect action_dynamic –>|informiert| c2_simplehelp tool_sessionwin –>|führt aus| action_masquerade process_wmic –>|führt aus| action_masquerade %% Class Assignments class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Angriffsfluss

Angriffs-Narrativ & Befehle:

Der Angreifer erhält einen Phishing-Anhang (T1566.001), der eine bösartige Nutzlast namens statement5648.exe im %TEMP% Verzeichnis ablegt. Um der Erkennung zu entgehen, wird die Datei mit einem gültigen Zertifikat signiert (verschlüsselter Code – T1027) und als Windows-Dienst (T1543.003) ausgeführt, um persistierend zu bleiben. Da der Name der Ausführungsdatei einem der Suffixe in der Regel entspricht, zeichnet Sysmon ein EventID 1 mit Image , das in statement5648.exeendet, was die Erkennungsvorschrift auslösen sollte. Der Angreifer deaktiviert auch Antiviren (T1562.009) und versucht eine UAC-Umgehung (T1548.002), um erweiterte Rechte zu erlangen.

Regressionstest-Skript:

#------------------------------------------------------------
# Dual‑RMM-Phishing-Kampagnensimulation – löst Sigma-Regel aus
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Eine Dummy-Executable (Kopie von notepad.exe) ablegen und umbenennen
Write-Host "[*] Ablegen der maskierten Nutzlast auf $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Erstellen eines Windows-Dienstes, der die Nutzlast ausführt (Persistenz)
Write-Host "[*] Installation des Dienstes $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Starten des Dienstes – dies generiert ein Sysmon ProcessCreate-Ereignis
Write-Host "[*] Starten des Dienstes $serviceName"
sc.exe start $serviceName > $null

# 4. OPTIONAL: UAC-Umgehung / Token-Impersonation simulieren (no‑op-Platzhalter)
#    In einem echten Red-Team-Durchlauf würde dies Invoke-BypassUAC oder ähnliches beinhalten.
Write-Host "[*] Simulation abgeschlossen – Überprüfen Sie SIEM auf Erkennung."
#------------------------------------------------------------

Bereinigungsbefehle:

#------------------------------------------------------------
# Bereinigung für Dual‑RMM-Simulation
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Dienst stoppen und löschen
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Entfernen der gefälschten Ausführbaren
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Bereinigung abgeschlossen."
#------------------------------------------------------------

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten