ScreenConnect Rogue : Techniques d’Ingénierie Sociale Communes Observées en 2025
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Les acteurs de la menace distribuent des clients ScreenConnect (surveillance et gestion à distance) malveillants par le biais de leurres d’ingénierie sociale tels que de fausses déclarations de sécurité sociale, des lettres d’invitation et des documents de facture. Les leurres sont diffusés par des e-mails de phishing et des pages web malveillantes, conduisant les victimes à télécharger des exécutables ScreenConnect renommés. Une fois installé, le RMM pirate fournit à l’attaquant un accès distant persistant à l’hôte compromis.
Enquête
Huntress a observé des dizaines d’incidents entre janvier et septembre 2025 où des binaires ScreenConnect renommés ont été exécutés sur des points de terminaison dans plusieurs secteurs. La SOC a collecté des noms de domaine associés, des adresses IP et des hachages de fichiers, notant l’utilisation répétée de services dynamiques DNS et de schémas de dénomination de leurres spécifiques. Une analyse détaillée des journaux a montré que le client malveillant contactait des domaines contrôlés par l’attaquant pour le commandement et le contrôle.
Atténuation
Les organisations doivent renforcer la formation à la sensibilisation à la sécurité pour détecter les fausses déclarations, factures et fichiers d’invitation. Une surveillance continue des outils d’accès à distance, la restriction de l’exécution de binaires RMM non signés et l’audit des connexions réseau vers des domaines malveillants connus sont recommandés. Maintenez les logiciels RMM à jour et autorisez uniquement les instances autorisées.
Réponse
Dès la détection d’un exécutable ScreenConnect renommé, isolez le point de terminaison, collectez le binaire et le trafic réseau associé, et bloquez le domaine C2 au pare-feu. Effectuez une analyse judiciaire pour identifier les mécanismes de persistance et le mouvement latéral, puis remédiez aux comptes compromis et réinitialisez les identifiants.
Flux d’attaque
Détections
Logiciel d’accès/gestion à distance alternatif (via système)
Voir
Logiciel d’accès/gestion à distance alternatif (via audit)
Voir
Commandement et contrôle suspect par demande DNS de domaine de premier niveau (TLD) inhabituel (via dns)
Voir
Logiciel d’accès/gestion à distance alternatif (via création_processus)
Voir
IOCs (HashSha256) à détecter : ScreenConnect pirate : Tactiques courantes d’ingénierie sociale que nous avons observées en 2025
Voir
Installation malveillante de ScreenConnect via leurres d’ingénierie sociale [Création de processus Windows]
Voir
Exécution de simulation
Pré-requis : Le contrôle de prévol de télémétrie et de base doit avoir réussi.
Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Récit et commandes de l’attaque :
Un attaquant conçoit un e-mail de phishing avec une pièce jointe nommée Social_Security_Statement_redacted.exe qui contient en fait un installateur légitime de ScreenConnect (ou toute charge utile). La victime, croyant qu’il s’agit d’un document financier personnel, double-clique sur le fichier. Le système d’exploitation lance l’exécutable, produisant un événement de création de processus où le champImagese termine par le nom de fichier malveillant. Ce modèle exact correspond à la règle Sigma et devrait déclencher une alerte. -
Script de test de régression :
# -------------------------------------------------------------- # Simulation script – triggers the "Rogue ScreenConnect" rule # -------------------------------------------------------------- # 1. Prepare a benign payload (e.g., calc.exe) and rename it $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Optionally set hidden attribute to mimic evasion (T1564.004) attrib +h $dst # 3. Execute the renamed payload (simulating user click) Start-Process -FilePath $dst # 4. Wait briefly to ensure logging Start-Sleep -Seconds 5 # 5. Output confirmation Write-Host "Executed $dst – should generate detection telemetry." -
Cleanup Commands:
# Remove the malicious‑looking executable and clear attribute $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Cleanup complete: $file removed." } else { Write-Host "File not found; nothing to clean." }
Fin du rapport