VENOMOUS#HELPER: Campagna di Phishing Dual-RMM Utilizza JWrapper per Impacchettare SimpleHelp e ScreenConnect per Accesso Remoto Silenzioso

Sommario

Una campagna di phishing ha utilizzato un sito web messicano compromesso per distribuire un eseguibile impacchettato con JWrapper che installa i legittimi strumenti di gestione remota SimpleHelp e ScreenConnect. Anche se entrambi i binari sono firmati e normalmente considerati attendibili, gli attaccanti li sfruttano per ottenere accesso remoto persistente e silente attraverso i servizi di Windows e le modifiche al registro in modalità provvisoria. Da aprile 2025, l’attività ha colpito più di 80 organizzazioni negli Stati Uniti, nell’Europa occidentale e in America Latina. Sebbene l’attribuzione rimanga incerta, la campagna sembra essere motivata finanziariamente.

Indagine

Securonix ha condotto un’analisi dinamica del payload consegnato e ha scoperto una configurazione di accesso remoto a doppio canale costruita attorno a SimpleHelp 5.0.1 e ConnectWise ScreenConnect. Il malware si installa come servizio di Windows, crea una voce di registro SafeBoot per sopravvivere ai riavvii in modalità provvisoria e utilizza cicli di polling ripetuti per identificare i prodotti di sicurezza installati e determinare se un utente è presente sulla macchina. Gli investigatori hanno anche scoperto che un binario rinominato wmic.exe.bak è stato utilizzato come parte della catena di esecuzione per aiutare a bypassare i rilevamenti basati sul nome.

Mitigazione

I team di sicurezza dovrebbero monitorare la creazione del servizio Windows Remote Access Service, la voce di registro SafeBoot associata, e la comparsa di Windows service, the associated SafeBoot registry entry, and the appearance of binario rinominato wmic.exe.bak all’interno della directory System32wbem. Le difese di rete devono bloccare il traffico UDP in uscita verso directory. Network defenses should block outbound UDP traffic to 84.200.205.233:5555 e il traffico TCP verso sslzeromail.run.place:8041. I difensori dovrebbero anche rimuovere il servizio malevolo e i file correlati mentre cercano utilità rinominate e altri artefatti legati all’intrusione.

Risposta

Se questa attività viene rilevata, isolare immediatamente il sistema infetto, fermare e rimuovere il servizio malevolo, eliminare la voce di registro SafeBoot e rimuovere la directory di installazione di JWrapper dall’host. Gli investigatori dovrebbero quindi eseguire un’analisi forense per determinare se si è verificato un movimento laterale e aggiornare la logica di rilevamento per intercettare le catene di processo specifiche e i modelli di comando osservati nella campagna. Le parti interessate rilevanti dovrebbero essere informate e si dovrebbe considerare una caccia alle minacce più ampia per identificare ulteriori vittime.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation["<b>Action</b> – <b>T1656 Impersonation</b><br/>Email spoofing of US SSA to lure victims"] class action_impersonation action action_phishing["<b>Action</b> – <b>T1566.001 Phishing</b><br/>Spearphishing attachment with link to compromised Mexican domains"] class action_phishing action action_infra["<b>Action</b> – <b>T1584.001 Compromise Infrastructure</b><br/>Compromise legitimate .com.mx sites to host landing page and payload"] class action_infra action action_execution["<b>Action</b> – Execution<br/>Victim runs JWrapper‑packed statement5648.exe which extracts config, drops private JRE and launches Java payload"] class action_execution action action_uac["<b>Action</b> – <b>T1548.002 Bypass UAC</b><br/>UAC prompt shows trusted SimpleHelp publisher allowing install"] class action_uac action action_service["<b>Action</b> – <b>T1543.003 Create or Modify System Process</b><br/>Registers Windows service "Remote Access Service""] class action_service action action_safemode["<b>Action</b> – <b>T1562.009 Safe Mode Boot</b><br/>Adds registry key under SafeBoot Network for service persistence"] class action_safemode action malware_simplehelp["<b>Malware</b> – SimpleHelp 5.0.1 (cracked)<br/>Remote administration tool signed by SimpleHelp"] class malware_simplehelp malware malware_screenconnect["<b>Malware</b> – ConnectWise ScreenConnect (cracked)<br/>Remote administration tool signed by ConnectWise"] class malware_screenconnect malware c2_simplehelp["<b>C2</b> – UDP 84.200.205.233:5555<br/>Used by SimpleHelp for beaconing"] class c2_simplehelp c2 c2_screenconnect["<b>C2</b> – TCP sslzeromail.run.place:8041<br/>Used by ScreenConnect relay"] class c2_screenconnect c2 tool_sessionwin["<b>Tool</b> – session_win.exe<br/>Steals winlogon.exe token to spawn processes in user session"] class tool_sessionwin tool tool_elevwin["<b>Tool</b> – elev_win.exe<br/>Creates processes with CreateProcessAsUserW using stolen token"] class tool_elevwin tool process_netsh["<b>Process</b> – netsh wlan show interfaces<br/>Runs every ~15 s to discover network configuration"] class process_netsh process process_wmic["<b>Process</b> – wmic.exe.bak query SecurityCenter2<br/>Runs every ~67 s to discover AV/Firewall products"] class process_wmic process action_masquerade["<b>Action</b> – <b>T1036.003 Masquerading</b><br/>Renames wmic.exe to wmic.exe.bak to hide utility"] class action_masquerade action action_dynamic["<b>Action</b> – <b>T1568 Dynamic Resolution</b>

graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodi action_impersonation[“<b>Azione</b> – <b>T1656 Impersonificazione</b><br/>Falsificazione email dell’SSA USA per attirare le vittime”] class action_impersonation action action_phishing[“<b>Azione</b> – <b>T1566.001 Phishing</b><br/>Allegato spearphishing con link a domini messicani compromessi”] class action_phishing action action_infra[“<b>Azione</b> – <b>T1584.001 Compromissione Infrastruttura</b><br/>Compromissione di siti legittimi .com.mx per ospitare pagine di atterraggio e payload”] class action_infra action action_execution[“<b>Azione</b> – Esecuzione<br/>La vittima esegue statement5648.exe impacchettato con JWrapper che estrae la configurazione, rilascia JRE privato e avvia il payload Java”] class action_execution action action_uac[“<b>Azione</b> – <b>T1548.002 Bypass UAC</b><br/>Il prompt UAC mostra l’editore SimpleHelp fidato consentendo l’installazione”] class action_uac action action_service[“<b>Azione</b> – <b>T1543.003 Creare o Modificare Processo di Sistema</b><br/>Registra il servizio Windows “Remote Access Service””] class action_service action action_safemode[“<b>Azione</b> – <b>T1562.009 Avvio in Modalità Provvisoria</b><br/>Aggiunge chiave di registro sotto SafeBoot Network per la persistenza del servizio”] class action_safemode action malware_simplehelp[“<b>Malware</b> – SimpleHelp 5.0.1 (craccato)<br/>Strumento di amministrazione remota firmato da SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“<b>Malware</b> – ConnectWise ScreenConnect (craccato)<br/>Strumento di amministrazione remota firmato da ConnectWise”] class malware_screenconnect malware c2_simplehelp[“<b>C2</b> – UDP 84.200.205.233:5555<br/>Usato da SimpleHelp per beaconing”] class c2_simplehelp c2 c2_screenconnect[“<b>C2</b> – TCP sslzeromail.run.place:8041<br/>Usato dal relay ScreenConnect”] class c2_screenconnect c2 tool_sessionwin[“<b>Strumento</b> – session_win.exe<br/>Ruba token winlogon.exe per generare processi nella sessione utente”] class tool_sessionwin tool tool_elevwin[“<b>Strumento</b> – elev_win.exe<br/>Crea processi con CreateProcessAsUserW usando un token rubato”] class tool_elevwin tool process_netsh[“<b>Processo</b> – netsh wlan show interfaces<br/>Eseguito ogni ~15 s per scoprire la configurazione di rete”] class process_netsh process process_wmic[“<b>Processo</b> – wmic.exe.bak query SecurityCenter2<br/>Eseguito ogni ~67 s per rilevare prodotti AV/Firewall”] class process_wmic process action_masquerade[“<b>Azione</b> – <b>T1036.003 Mascheramento</b><br/>Rinomina wmic.exe a wmic.exe.bak per nascondere l’utilità”] class action_masquerade action action_dynamic[“<b>Azione</b> – <b>T1568 Risoluzione Dinamica</b><br/>Raccoglie informazioni sull’interfaccia per adattare gli endpoint C2”] class action_dynamic action %% Connessioni del Flusso action_impersonation –>|conduce a| action_phishing action_phishing –>|usa| action_infra action_infra –>|ospita| action_execution action_execution –>|attiva| action_uac action_uac –>|abilita| action_service action_service –>|aggiunge| action_safemode action_safemode –>|supporta| malware_simplehelp malware_simplehelp –>|comunica con| c2_simplehelp malware_screenconnect –>|comunica con| c2_screenconnect malware_simplehelp –>|installa| tool_sessionwin malware_screenconnect –>|installa| tool_elevwin tool_sessionwin –>|esegue| action_masquerade tool_elevwin –>|esegue| process_netsh process_netsh –>|fornisce| action_dynamic process_wmic –>|fornisce| action_dynamic action_dynamic –>|informa| c2_screenconnect action_dynamic –>|informa| c2_simplehelp tool_sessionwin –>|esegue| action_masquerade process_wmic –>|esegue| action_masquerade %% Assegnazioni delle Classi class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Flusso di Attacco