SOC Prime Bias: Mittel

05 Jan. 2026 17:56
newspaper icon Huntress

Betrügerischer ScreenConnect: Gemeinsame Social Engineering Taktiken, die wir 2025 beobachteten

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Betrügerischer ScreenConnect: Gemeinsame Social Engineering Taktiken, die wir 2025 beobachteten
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Bedrohungsakteure verbreiten bösartige ScreenConnect-Clients (Remote Monitoring and Management) durch Social-Engineering-Köder wie gefälschte Sozialversicherungsnachweise, Einladungsschreiben und Rechnungsdokumente. Diese Köder werden über Phishing-E-Mails und bösartige Webseiten verbreitet, die das Herunterladen umbenannter ScreenConnect-Executables veranlassen. Nach der Installation bietet das schädliche RMM dem Angreifer dauerhaften Fernzugriff auf den kompromittierten Host.

Untersuchung

Huntress beobachtete von Januar bis September 2025 dutzende Vorfälle, bei denen umbenannte ScreenConnect-Binärdateien auf Endpunkten in verschiedenen Branchen ausgeführt wurden. Das SOC sammelte zugehörige Domainnamen, IP-Adressen und Dateihashes und stellte die wiederholte Nutzung von dynamischen DNS-Diensten und spezifischen Ködernamen-Mustern fest. Eine detaillierte Protokollanalyse zeigte, dass der bösartige Client Domänen unter Kontrolle der Angreifer für die Kommando-und-Kontroll-Kommunikation kontaktierte.

Abschwächung

Organisationen sollten die Schulung zur Sicherheitsbewusstseinsbildung verstärken, um gefälschte Nachweise, Rechnungen und Einladungsdateien zu erkennen. Es wird empfohlen, Remote-Zugriffswerkzeuge kontinuierlich zu überwachen, die Ausführung unsignierter RMM-Binärdateien einzuschränken und Netzwerkverbindungen zu bekannten bösartigen Domänen zu überwachen. RMM-Software sollte auf dem neusten Stand gehalten werden, und nur autorisierte Instanzen sollten auf die Whitelist gesetzt werden.

Reaktion

Nach Entdeckung eines umbenannten ScreenConnect-Executables sollte der Endpunkt isoliert, die Binärdatei und der zugehörige Netzwerkverkehr gesammelt und die C2-Domäne in der Firewall blockiert werden. Eine forensische Analyse zur Identifizierung von Persistenzmechanismen und seitlicher Bewegung sollte durchgeführt und kompromittierte Konten sollten behoben und Zugangsdaten zurückgesetzt werden.

graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Node definitions tech_initial_access_phishing[„<b>Technik</b> – <b>T1566 Phishing</b><br/><b>Beschreibung</b>: Bedrohungsakteure senden gefälschte E-Mails, die Sozialversicherungsnachweise, Rechnungen oder Einladungen mit bösartigen Links nachahmen.“] class tech_initial_access_phishing technique tech_malicious_link[„<b>Technik</b> – <b>T1204.001 Bösartiger Link</b><br/><b>Beschreibung</b>: Opfer klickt auf einen bösartigen Link, der zu einer Downloadseite umleitet.“] class tech_malicious_link technique tech_malicious_file[„<b>Technik</b> – <b>T1204.002 Bösartige Datei</b><br/><b>Beschreibung</b>: Das Opfer lädt eine ausführbare Datei herunter und führt diese aus, die als Dokument oder Einladung getarnt ist.“] class tech_malicious_file technique op_user_execution((„Benutzerausführung“)) class op_user_execution operator tech_masquerading[„<b>Technik</b> – <b>T1036 Maskierung</b><br/><b>Sub-Techniken</b>: T1036.008 Typ der Maskierung, T1036.003 Legitimes Dienstprogramm umbenennen, T1036.007 Doppelte Dateiendung<br/><b>Beschreibung</b>: Nutzlast wird umbenannt, um legitim zu erscheinen und eine Entdeckung zu vermeiden.“] class tech_masquerading technique tech_rat_installation[„<b>Technik</b> – <b>T1219 Installation eines Remote-Access-Tools</b><br/><b>Beschreibung</b>: Installation eines ScreenConnect-Clients, der Möglichkeiten zur Fernüberwachung und Verwaltung bietet.“] class tech_rat_installation technique tool_screenconnect[„<b>Werkzeug</b> – <b>Name</b>: ScreenConnect (ConnectWise Control)<br/><b>Beschreibung</b>: Remote-Zugriffssoftware, verwendet als RAT.“] class tool_screenconnect tool tech_dynamic_dns[„<b>Technik</b> – <b>T1568.002 Domänengenerierungsalgorithmen</b><br/><b>Beschreibung</b>: Nutzung dynamischer DNS-Dienste und generierter Domänen für C2-Kommunikation.“] class tech_dynamic_dns technique tech_app_layer_dns[„<b>Technik</b> – <b>T1071.004 Anwendungsprotokoll: DNS</b><br/><b>Beschreibung</b>: C2-Verkehr wird über DNS-Abfragen übertragen.“] class tech_app_layer_dns technique tech_app_layer_web[„<b>Technik</b> – <b>T1071.001 Anwendungsprotokoll: Web</b><br/><b>Beschreibung</b>: C2-Verkehr wird über HTTPS-Webprotokolle übertragen.“] class tech_app_layer_web technique tech_web_service_bidirectional[„<b>Technik</b> – <b>T1102.002 Web-Service: Bidirektionale Kommunikation</b><br/><b>Beschreibung</b>: Verwendung eines Web-Services für bidirektionale C2-Kommunikation.“] class tech_web_service_bidirectional technique tech_external_remote_services[„<b>Technik</b> – <b>T1133 Externe Remote-Dienste</b><br/><b>Beschreibung</b>: Erhaltung der Persistenz über externe Remote-Dienste, die anhaltenden Zugriff ermöglichen.“] class tech_external_remote_services technique tech_hide_artifacts[„<b>Technik</b> – <b>T1564.012 Artefakte verbergen: Datei/Verzeichnisausschlüsse</b><br/><b>Beschreibung</b>: Konfiguration von Ausnahmen, um bösartige Dateien vor Sicherheitswerkzeugen zu verbergen.“] class tech_hide_artifacts technique tech_passive_dns[„<b>Technik</b> – <b>T1596.001 Suche in offenen technischen Datenbanken: Passive DNS</b><br/><b>Beschreibung</b>: Verwendung von passiven DNS-Daten zur Entdeckung oder Registrierung bösartiger Domänen.“] class tech_passive_dns technique %% Connections tech_initial_access_phishing u002du002d>|liefert aus| op_user_execution op_user_execution u002du002d>|verwendet| tech_malicious_link op_user_execution u002du002d>|verwendet| tech_malicious_file op_user_execution u002du002d>|führt zu| tech_masquerading tech_masquerading u002du002d>|ermöglicht| tech_rat_installation tech_rat_installation u002du002d>|installiert| tool_screenconnect tool_screenconnect u002du002d>|kontaktiert| tech_dynamic_dns tool_screenconnect u002du002d>|verwendet| tech_app_layer_dns tool_screenconnect u002du002d>|verwendet| tech_app_layer_web tool_screenconnect u002du002d>|verwendet| tech_web_service_bidirectional tech_dynamic_dns u002du002d>|unterstützt| tech_external_remote_services tech_external_remote_services u002du002d>|ermöglicht| tech_passive_dns tech_dynamic_dns u002du002d>|unterstützt| tech_hide_artifacts

Angriffsablauf

Simulationsexekution

Voraussetzung: Die Telemetrie- & Base-Line- Pre-Flight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und der Erzählstil MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet.

  • Angriffserzählung & Befehle:
    Ein Angreifer erstellt eine Phishing-E-Mail mit einem Anhang namens Social_Security_Statement_redacted.exe die tatsächlich einen legitimen ScreenConnect-Installer (oder eine andere Nutzlast) enthält. Das Opfer, das glaubt, es handele sich um ein persönliches Finanzdokument, doppelklickt die Datei. Das Betriebssystem startet die ausführbare Datei, was ein Ereignis zur Prozesserstellung erzeugt, in dem das Image Feld endet mit dem bösartigen Dateinamen. Dieses genaue Muster entspricht der Sigma-Regel und sollte einen Alarm auslösen.

  • Regressionstest-Skript:

    # --------------------------------------------------------------
# Simulationsskript – löst die "Rogue ScreenConnect"-Regel aus
# --------------------------------------------------------------

# 1. Bereiten Sie eine harmlose Nutzlast (z.B. calc.exe) vor und benennen Sie sie um
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:TempSocial_Security_Statement_redacted.exe"

Copy-Item -Path $src -Destination $dst -Force

# 2. Optional verstecktes Attribut einstellen, um Ausweichen zu simulieren (T1564.004)
attrib +h $dst

# 3. Die umbenannte Nutzlast ausführen (Benutzerklick simulieren)
Start-Process -FilePath $dst

# 4. Kurz warten, um das Logging sicherzustellen
Start-Sleep -Seconds 5

# 5. Bestätigungsausgabe
Write-Host "Ausgeführt $dst – sollte Erkennungs-Telemetrie erzeugen."

  • Befehle zur Bereinigung:

    # Entfernen Sie die bösartig aussehende ausführbare Datei und löschen Sie das Attribut
$file = "$env:TempSocial_Security_Statement_redacted.exe"
if (Test-Path $file) {
    attrib -h $file
    Remove-Item -Path $file -Force
    Write-Host "Aufräumvorgang abgeschlossen: $file entfernt."
} else {
    Write-Host "Datei nicht gefunden; nichts zu reinigen."
}

Ende des Berichts

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten