SOC Prime Bias: Moyen

05 Jan 2026 14:56 UTC

ScreenConnect Rogue : Techniques d’Ingénierie Sociale Communes Observées en 2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
ScreenConnect Rogue : Techniques d’Ingénierie Sociale Communes Observées en 2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs de la menace distribuent des clients ScreenConnect (surveillance et gestion à distance) malveillants par le biais de leurres d’ingénierie sociale tels que de fausses déclarations de sécurité sociale, des lettres d’invitation et des documents de facture. Les leurres sont diffusés par des e-mails de phishing et des pages web malveillantes, conduisant les victimes à télécharger des exécutables ScreenConnect renommés. Une fois installé, le RMM pirate fournit à l’attaquant un accès distant persistant à l’hôte compromis.

Enquête

Huntress a observé des dizaines d’incidents entre janvier et septembre 2025 où des binaires ScreenConnect renommés ont été exécutés sur des points de terminaison dans plusieurs secteurs. La SOC a collecté des noms de domaine associés, des adresses IP et des hachages de fichiers, notant l’utilisation répétée de services dynamiques DNS et de schémas de dénomination de leurres spécifiques. Une analyse détaillée des journaux a montré que le client malveillant contactait des domaines contrôlés par l’attaquant pour le commandement et le contrôle.

Atténuation

Les organisations doivent renforcer la formation à la sensibilisation à la sécurité pour détecter les fausses déclarations, factures et fichiers d’invitation. Une surveillance continue des outils d’accès à distance, la restriction de l’exécution de binaires RMM non signés et l’audit des connexions réseau vers des domaines malveillants connus sont recommandés. Maintenez les logiciels RMM à jour et autorisez uniquement les instances autorisées.

Réponse

Dès la détection d’un exécutable ScreenConnect renommé, isolez le point de terminaison, collectez le binaire et le trafic réseau associé, et bloquez le domaine C2 au pare-feu. Effectuez une analyse judiciaire pour identifier les mécanismes de persistance et le mouvement latéral, puis remédiez aux comptes compromis et réinitialisez les identifiants.

Flux d’attaque

Exécution de simulation

Pré-requis : Le contrôle de prévol de télémétrie et de base doit avoir réussi.

Rationnel : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.

  • Récit et commandes de l’attaque :
    Un attaquant conçoit un e-mail de phishing avec une pièce jointe nommée Social_Security_Statement_redacted.exe qui contient en fait un installateur légitime de ScreenConnect (ou toute charge utile). La victime, croyant qu’il s’agit d’un document financier personnel, double-clique sur le fichier. Le système d’exploitation lance l’exécutable, produisant un événement de création de processus où le champ Image se termine par le nom de fichier malveillant. Ce modèle exact correspond à la règle Sigma et devrait déclencher une alerte.

  • Script de test de régression :

    # --------------------------------------------------------------
    # Simulation script – triggers the "Rogue ScreenConnect" rule
    # --------------------------------------------------------------
    
    # 1. Prepare a benign payload (e.g., calc.exe) and rename it
    $src = "$env:SystemRootSystem32calc.exe"
    $dst = "$env:TempSocial_Security_Statement_redacted.exe"
    
    Copy-Item -Path $src -Destination $dst -Force
    
    # 2. Optionally set hidden attribute to mimic evasion (T1564.004)
    attrib +h $dst
    
    # 3. Execute the renamed payload (simulating user click)
    Start-Process -FilePath $dst
    
    # 4. Wait briefly to ensure logging
    Start-Sleep -Seconds 5
    
    # 5. Output confirmation
    Write-Host "Executed $dst – should generate detection telemetry."
  • Cleanup Commands:

    # Remove the malicious‑looking executable and clear attribute
    $file = "$env:TempSocial_Security_Statement_redacted.exe"
    if (Test-Path $file) {
        attrib -h $file
        Remove-Item -Path $file -Force
        Write-Host "Cleanup complete: $file removed."
    } else {
        Write-Host "File not found; nothing to clean."
    }

Fin du rapport