SOC Prime Bias: Mittel

05 Jan 2026 14:56 UTC

Betrügerischer ScreenConnect: Gemeinsame Social Engineering Taktiken, die wir 2025 beobachteten

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Betrügerischer ScreenConnect: Gemeinsame Social Engineering Taktiken, die wir 2025 beobachteten
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure verbreiten bösartige ScreenConnect-Clients (Remote Monitoring and Management) durch Social-Engineering-Köder wie gefälschte Sozialversicherungsnachweise, Einladungsschreiben und Rechnungsdokumente. Diese Köder werden über Phishing-E-Mails und bösartige Webseiten verbreitet, die das Herunterladen umbenannter ScreenConnect-Executables veranlassen. Nach der Installation bietet das schädliche RMM dem Angreifer dauerhaften Fernzugriff auf den kompromittierten Host.

Untersuchung

Huntress beobachtete von Januar bis September 2025 dutzende Vorfälle, bei denen umbenannte ScreenConnect-Binärdateien auf Endpunkten in verschiedenen Branchen ausgeführt wurden. Das SOC sammelte zugehörige Domainnamen, IP-Adressen und Dateihashes und stellte die wiederholte Nutzung von dynamischen DNS-Diensten und spezifischen Ködernamen-Mustern fest. Eine detaillierte Protokollanalyse zeigte, dass der bösartige Client Domänen unter Kontrolle der Angreifer für die Kommando-und-Kontroll-Kommunikation kontaktierte.

Abschwächung

Organisationen sollten die Schulung zur Sicherheitsbewusstseinsbildung verstärken, um gefälschte Nachweise, Rechnungen und Einladungsdateien zu erkennen. Es wird empfohlen, Remote-Zugriffswerkzeuge kontinuierlich zu überwachen, die Ausführung unsignierter RMM-Binärdateien einzuschränken und Netzwerkverbindungen zu bekannten bösartigen Domänen zu überwachen. RMM-Software sollte auf dem neusten Stand gehalten werden, und nur autorisierte Instanzen sollten auf die Whitelist gesetzt werden.

Reaktion

Nach Entdeckung eines umbenannten ScreenConnect-Executables sollte der Endpunkt isoliert, die Binärdatei und der zugehörige Netzwerkverkehr gesammelt und die C2-Domäne in der Firewall blockiert werden. Eine forensische Analyse zur Identifizierung von Persistenzmechanismen und seitlicher Bewegung sollte durchgeführt und kompromittierte Konten sollten behoben und Zugangsdaten zurückgesetzt werden.

Angriffsablauf

Simulationsexekution

Voraussetzung: Die Telemetrie- & Base-Line- Pre-Flight-Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und der Erzählstil MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet.

  • Angriffserzählung & Befehle:
    Ein Angreifer erstellt eine Phishing-E-Mail mit einem Anhang namens Social_Security_Statement_redacted.exe die tatsächlich einen legitimen ScreenConnect-Installer (oder eine andere Nutzlast) enthält. Das Opfer, das glaubt, es handele sich um ein persönliches Finanzdokument, doppelklickt die Datei. Das Betriebssystem startet die ausführbare Datei, was ein Ereignis zur Prozesserstellung erzeugt, in dem das Image Feld endet mit dem bösartigen Dateinamen. Dieses genaue Muster entspricht der Sigma-Regel und sollte einen Alarm auslösen.

  • Regressionstest-Skript:

    # --------------------------------------------------------------
    # Simulationsskript – löst die "Rogue ScreenConnect"-Regel aus
    # --------------------------------------------------------------
    
    # 1. Bereiten Sie eine harmlose Nutzlast (z.B. calc.exe) vor und benennen Sie sie um
    $src = "$env:SystemRootSystem32calc.exe"
    $dst = "$env:TempSocial_Security_Statement_redacted.exe"
    
    Copy-Item -Path $src -Destination $dst -Force
    
    # 2. Optional verstecktes Attribut einstellen, um Ausweichen zu simulieren (T1564.004)
    attrib +h $dst
    
    # 3. Die umbenannte Nutzlast ausführen (Benutzerklick simulieren)
    Start-Process -FilePath $dst
    
    # 4. Kurz warten, um das Logging sicherzustellen
    Start-Sleep -Seconds 5
    
    # 5. Bestätigungsausgabe
    Write-Host "Ausgeführt $dst – sollte Erkennungs-Telemetrie erzeugen."
  • Befehle zur Bereinigung:

    # Entfernen Sie die bösartig aussehende ausführbare Datei und löschen Sie das Attribut
    $file = "$env:TempSocial_Security_Statement_redacted.exe"
    if (Test-Path $file) {
        attrib -h $file
        Remove-Item -Path $file -Force
        Write-Host "Aufräumvorgang abgeschlossen: $file entfernt."
    } else {
        Write-Host "Datei nicht gefunden; nichts zu reinigen."
    }

Ende des Berichts