Betrügerischer ScreenConnect: Gemeinsame Social Engineering Taktiken, die wir 2025 beobachteten
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Bedrohungsakteure verbreiten bösartige ScreenConnect-Clients (Remote Monitoring and Management) durch Social-Engineering-Köder wie gefälschte Sozialversicherungsnachweise, Einladungsschreiben und Rechnungsdokumente. Diese Köder werden über Phishing-E-Mails und bösartige Webseiten verbreitet, die das Herunterladen umbenannter ScreenConnect-Executables veranlassen. Nach der Installation bietet das schädliche RMM dem Angreifer dauerhaften Fernzugriff auf den kompromittierten Host.
Untersuchung
Huntress beobachtete von Januar bis September 2025 dutzende Vorfälle, bei denen umbenannte ScreenConnect-Binärdateien auf Endpunkten in verschiedenen Branchen ausgeführt wurden. Das SOC sammelte zugehörige Domainnamen, IP-Adressen und Dateihashes und stellte die wiederholte Nutzung von dynamischen DNS-Diensten und spezifischen Ködernamen-Mustern fest. Eine detaillierte Protokollanalyse zeigte, dass der bösartige Client Domänen unter Kontrolle der Angreifer für die Kommando-und-Kontroll-Kommunikation kontaktierte.
Abschwächung
Organisationen sollten die Schulung zur Sicherheitsbewusstseinsbildung verstärken, um gefälschte Nachweise, Rechnungen und Einladungsdateien zu erkennen. Es wird empfohlen, Remote-Zugriffswerkzeuge kontinuierlich zu überwachen, die Ausführung unsignierter RMM-Binärdateien einzuschränken und Netzwerkverbindungen zu bekannten bösartigen Domänen zu überwachen. RMM-Software sollte auf dem neusten Stand gehalten werden, und nur autorisierte Instanzen sollten auf die Whitelist gesetzt werden.
Reaktion
Nach Entdeckung eines umbenannten ScreenConnect-Executables sollte der Endpunkt isoliert, die Binärdatei und der zugehörige Netzwerkverkehr gesammelt und die C2-Domäne in der Firewall blockiert werden. Eine forensische Analyse zur Identifizierung von Persistenzmechanismen und seitlicher Bewegung sollte durchgeführt und kompromittierte Konten sollten behoben und Zugangsdaten zurückgesetzt werden.
Angriffsablauf
Erkennungen
Alternative Remote-Access- / Management-Software (via System)
Ansicht
Alternative Remote-Access- / Management-Software (via Audit)
Ansicht
Verdächtige Kommando- und Kontrollanfrage durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via DNS)
Ansicht
Alternative Remote-Access- / Management-Software (via Prozess-Erstellung)
Ansicht
IOCs (HashSha256) zum Erkennen: Rogue ScreenConnect: Häufige Social-Engineering-Taktiken, die wir 2025 gesehen haben
Ansicht
Rogue ScreenConnect-Installation über Social-Engineering-Köder [Windows Prozess-Erstellung]
Ansicht
Simulationsexekution
Voraussetzung: Die Telemetrie- & Base-Line- Pre-Flight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entwickelt wurde, um die Erkennungsregel auszulösen. Die Befehle und der Erzählstil MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die die Erkennungslogik erwartet.
-
Angriffserzählung & Befehle:
Ein Angreifer erstellt eine Phishing-E-Mail mit einem Anhang namens Social_Security_Statement_redacted.exe die tatsächlich einen legitimen ScreenConnect-Installer (oder eine andere Nutzlast) enthält. Das Opfer, das glaubt, es handele sich um ein persönliches Finanzdokument, doppelklickt die Datei. Das Betriebssystem startet die ausführbare Datei, was ein Ereignis zur Prozesserstellung erzeugt, in dem dasImageFeld endet mit dem bösartigen Dateinamen. Dieses genaue Muster entspricht der Sigma-Regel und sollte einen Alarm auslösen. -
Regressionstest-Skript:
# -------------------------------------------------------------- # Simulationsskript – löst die "Rogue ScreenConnect"-Regel aus # -------------------------------------------------------------- # 1. Bereiten Sie eine harmlose Nutzlast (z.B. calc.exe) vor und benennen Sie sie um $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Optional verstecktes Attribut einstellen, um Ausweichen zu simulieren (T1564.004) attrib +h $dst # 3. Die umbenannte Nutzlast ausführen (Benutzerklick simulieren) Start-Process -FilePath $dst # 4. Kurz warten, um das Logging sicherzustellen Start-Sleep -Seconds 5 # 5. Bestätigungsausgabe Write-Host "Ausgeführt $dst – sollte Erkennungs-Telemetrie erzeugen." -
Befehle zur Bereinigung:
# Entfernen Sie die bösartig aussehende ausführbare Datei und löschen Sie das Attribut $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Aufräumvorgang abgeschlossen: $file entfernt." } else { Write-Host "Datei nicht gefunden; nichts zu reinigen." }
Ende des Berichts