VENOMOUS#HELPER : Campagne de phishing Dual-RMM utilise JWrapper pour déployer SimpleHelp et ScreenConnect pour un accès à distance invisible

SOC Prime Team

Suivre

VENOMOUS#HELPER : Campagne de phishing Dual-RMM utilise JWrapper pour déployer SimpleHelp et ScreenConnect pour un accès à distance invisible

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Une campagne de phishing utilise un site web mexicain compromis pour distribuer un exécutable empaqueté avec JWrapper qui installe les outils de gestion à distance légitimes SimpleHelp et ScreenConnect. Bien que les deux binaires soient signés et généralement dignes de confiance, les attaquants en abusent pour obtenir un accès distant persistant et silencieux via des services Windows et des modifications du registre en mode sans échec. Depuis avril 2025, l’activité a touché plus de 80 organisations aux États-Unis, en Europe occidentale et en Amérique latine. Bien que l’attribution reste floue, la campagne semble être motivée financièrement.

Enquête

Securonix a mené une analyse dynamique de la charge utile livrée et découvert une configuration d’accès à distance à double canal basée sur SimpleHelp 5.0.1 et ConnectWise ScreenConnect. Le malware s’installe comme un service Windows, crée une entrée de registre SafeBoot pour survivre aux redémarrages en mode sans échec, et utilise des boucles de sondage répétées pour identifier les produits de sécurité installés et déterminer si un utilisateur est présent sur la machine. Les enquêteurs ont également découvert qu’un wmic.exe.bak binaire a été utilisé dans la chaîne d’exécution pour aider à contourner les détections basées sur le nom.

Atténuation

Les équipes de sécurité doivent surveiller la création du service Windows Remote Access Service , l’entrée de registre SafeBoot associée, et l’apparition de wmic.exe.bak à l’intérieur du répertoire System32wbem . Les défenses réseau doivent bloquer le trafic UDP sortant vers 84.200.205.233:5555 et le trafic TCP vers sslzeromail.run.place:8041. Les défenseurs doivent également supprimer le service malveillant et les fichiers associés tout en recherchant les utilitaires renommés et autres artefacts liés à l’intrusion.

Réponse

Si cette activité est détectée, isolez immédiatement le système affecté, arrêtez et supprimez le service malveillant, supprimez l’entrée de registre SafeBoot, et retirez le répertoire d’installation JWrapper de l’hôte. Les enquêteurs doivent ensuite effectuer une analyse forensic pour déterminer si un mouvement latéral a eu lieu et mettre à jour la logique de détection pour capturer les chaînes de processus spécifiques et les modèles de commande vus dans la campagne. Les parties prenantes concernées doivent être informées, et une chasse aux menaces plus large doit être envisagée pour identifier d’autres victimes.

graph TB %% Définitions des Classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nœuds action_impersonation[« Action – T1656 Usurpation d’identité Usurpation d’e-mail de la SSA américaine pour attirer les victimes »] class action_impersonation action action_phishing[« Action – T1566.001 Hameçonnage Pièce jointe de spearphishing avec lien vers des domaines mexicains compromis »] class action_phishing action action_infra[« Action – T1584.001 Compromission d’Infrastructure Compromission de sites .com.mx légitimes pour héberger la page de destination et la charge utile »] class action_infra action action_execution[« Action – Exécution La victime exécute statement5648.exe empaqueté avec JWrapper qui extrait la configuration, dépose un JRE privé et lance la charge utile Java »] class action_execution action action_uac[« Action – T1548.002 Contournement de l’UAC L’invite UAC affiche un éditeur SimpleHelp de confiance autorisant l’installation »] class action_uac action action_service[« Action – T1543.003 Création ou Modification de Processus Système Enregistre le service Windows \ »Remote Access Service\ » »] class action_service action action_safemode[« Action – T1562.009 Démarrage en Mode Sans Échec Ajoute une clé de registre sous SafeBoot Network pour la persistance du service »] class action_safemode action malware_simplehelp[« Malware – SimpleHelp 5.0.1 (cracké) Outil d’administration à distance signé par SimpleHelp »] class malware_simplehelp malware malware_screenconnect[« Malware – ConnectWise ScreenConnect (cracké) Outil d’administration à distance signé par ConnectWise »] class malware_screenconnect malware c2_simplehelp[« C2 – UDP 84.200.205.233:5555 Utilisé par SimpleHelp pour le beaconing »] class c2_simplehelp c2 c2_screenconnect[« C2 – TCP sslzeromail.run.place:8041 Utilisé par le relais ScreenConnect »] class c2_screenconnect c2 tool_sessionwin[« Outil – session_win.exe Vole le jeton de winlogon.exe pour générer des processus dans la session utilisateur »] class tool_sessionwin tool tool_elevwin[« Outil – elev_win.exe Crée des processus avec CreateProcessAsUserW en utilisant le jeton volé »] class tool_elevwin tool process_netsh[« Processus – netsh wlan show interfaces Exécuté toutes les ~15 s pour découvrir la configuration réseau »] class process_netsh process process_wmic[« Processus – wmic.exe.bak query SecurityCenter2 Exécuté toutes les ~67 s pour découvrir les produits AV/Pare-feu »] class process_wmic process action_masquerade[« Action – T1036.003 Mascarade Renomme wmic.exe en wmic.exe.bak pour masquer l’utilitaire »] class action_masquerade action action_dynamic[« Action – T1568 Résolution Dynamique Collecte les informations d’interface pour adapter les points de terminaison C2 »] class action_dynamic action %% Connexions de Flux action_impersonation –>|mène_à| action_phishing action_phishing –>|utilise| action_infra action_infra –>|héberge| action_execution action_execution –>|déclenche| action_uac action_uac –>|active| action_service action_service –>|ajoute| action_safemode action_safemode –>|soutient| malware_simplehelp malware_simplehelp –>|communique avec| c2_simplehelp malware_screenconnect –>|communique avec| c2_screenconnect malware_simplehelp –>|installe| tool_sessionwin malware_screenconnect –>|installe| tool_elevwin tool_sessionwin –>|effectue| action_masquerade tool_elevwin –>|exécute| process_netsh process_netsh –>|alimente| action_dynamic process_wmic –>|alimente| action_dynamic action_dynamic –>|informe| c2_screenconnect action_dynamic –>|informe| c2_simplehelp tool_sessionwin –>|effectue| action_masquerade process_wmic –>|effectue| action_masquerade %% Assignations des Classes class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Flux d’attaque

Narrative & Commandes de l’attaque :

L’attaquant reçoit une pièce jointe de phishing (T1566.001) qui dépose une charge utile malveillante appelée statement5648.exe dans le répertoire %TEMP% . Pour échapper à la détection, le fichier est signé avec un certificat valide (code obscurci – T1027) et est exécuté en tant que service Windows (T1543.003) pour persister. Parce que le nom de l’exécutable correspond à l’un des suffixes de la règle, Sysmon enregistre un EventID 1 avec Image se terminant par statement5648.exe, ce qui devrait déclencher la règle de détection. L’attaquant désactive également l’antivirus (T1562.009) et tente un contournement UAC (T1548.002) pour obtenir des privilèges élevés.

Script de test de régression :

#------------------------------------------------------------
# Simulation de campagne de phishing Dual‑RMM – déclenche la règle Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Déposer un exécutable factice (copie de notepad.exe) et renommer
Write-Host "[*] Dépôt de la charge utile masquée vers $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Créer un service Windows qui exécute la charge utile (persistance)
Write-Host "[*] Installation du service $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Démarrez le service – cela génère un événement ProcessCreate de Sysmon
Write-Host "[*] Démarrage du service $serviceName"
sc.exe start $serviceName > $null

# 4. OPTIONNEL : Simulez le contournement UAC / l'usurpation de jeton (placeholders)
#    Lors d'une véritable exécution en équipe rouge, cela impliquerait Invoke-BypassUAC ou similaire.
Write-Host "[*] Simulation terminée – vérifier SIEM pour détection."
#------------------------------------------------------------

Commandes de nettoyage :

#------------------------------------------------------------
# Nettoyage pour la simulation Dual‑RMM
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Arrêter et supprimer le service
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Supprimer l'exécutable fictif
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Nettoyage terminé."
#------------------------------------------------------------

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement