VENOMOUS#HELPER: Campagna di Phishing Dual-RMM Utilizza JWrapper per Impacchettare SimpleHelp e ScreenConnect per Accesso Remoto Silenzioso

SOC Prime Team

Segui

VENOMOUS#HELPER: Campagna di Phishing Dual-RMM Utilizza JWrapper per Impacchettare SimpleHelp e ScreenConnect per Accesso Remoto Silenzioso

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Sommario

Una campagna di phishing ha utilizzato un sito web messicano compromesso per distribuire un eseguibile impacchettato con JWrapper che installa i legittimi strumenti di gestione remota SimpleHelp e ScreenConnect. Anche se entrambi i binari sono firmati e normalmente considerati attendibili, gli attaccanti li sfruttano per ottenere accesso remoto persistente e silente attraverso i servizi di Windows e le modifiche al registro in modalità provvisoria. Da aprile 2025, l’attività ha colpito più di 80 organizzazioni negli Stati Uniti, nell’Europa occidentale e in America Latina. Sebbene l’attribuzione rimanga incerta, la campagna sembra essere motivata finanziariamente.

Indagine

Securonix ha condotto un’analisi dinamica del payload consegnato e ha scoperto una configurazione di accesso remoto a doppio canale costruita attorno a SimpleHelp 5.0.1 e ConnectWise ScreenConnect. Il malware si installa come servizio di Windows, crea una voce di registro SafeBoot per sopravvivere ai riavvii in modalità provvisoria e utilizza cicli di polling ripetuti per identificare i prodotti di sicurezza installati e determinare se un utente è presente sulla macchina. Gli investigatori hanno anche scoperto che un binario rinominato wmic.exe.bak è stato utilizzato come parte della catena di esecuzione per aiutare a bypassare i rilevamenti basati sul nome.

Mitigazione

I team di sicurezza dovrebbero monitorare la creazione del servizio Windows Remote Access Service, la voce di registro SafeBoot associata, e la comparsa di Windows service, the associated SafeBoot registry entry, and the appearance of binario rinominato wmic.exe.bak all’interno della directory System32wbem. Le difese di rete devono bloccare il traffico UDP in uscita verso directory. Network defenses should block outbound UDP traffic to 84.200.205.233:5555 e il traffico TCP verso sslzeromail.run.place:8041. I difensori dovrebbero anche rimuovere il servizio malevolo e i file correlati mentre cercano utilità rinominate e altri artefatti legati all’intrusione.

Risposta

Se questa attività viene rilevata, isolare immediatamente il sistema infetto, fermare e rimuovere il servizio malevolo, eliminare la voce di registro SafeBoot e rimuovere la directory di installazione di JWrapper dall’host. Gli investigatori dovrebbero quindi eseguire un’analisi forense per determinare se si è verificato un movimento laterale e aggiornare la logica di rilevamento per intercettare le catene di processo specifiche e i modelli di comando osservati nella campagna. Le parti interessate rilevanti dovrebbero essere informate e si dovrebbe considerare una caccia alle minacce più ampia per identificare ulteriori vittime.

graph TB %% Definizioni delle Classi classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodi action_impersonation[“Azione – T1656 Impersonificazione Spoofing email della SSA statunitense per attirare le vittime”] class action_impersonation action action_phishing[“Azione – T1566.001 Phishing Allegato di spearphishing con link a domini messicani compromessi”] class action_phishing action action_infra[“Azione – T1584.001 Compromissione dell’Infrastruttura Compromissione di siti .com.mx legittimi per ospitare la landing page e il payload”] class action_infra action action_execution[“Azione – Esecuzione La vittima esegue statement5648.exe impacchettato con JWrapper che estrae la configurazione, rilascia un JRE privato e avvia il payload Java”] class action_execution action action_uac[“Azione – T1548.002 Bypass UAC Il prompt UAC mostra un editore affidabile di SimpleHelp consentendo l’installazione”] class action_uac action action_service[“Azione – T1543.003 Creazione o Modifica di Processo di Sistema Registra il servizio Windows \”Remote Access Service\””] class action_service action action_safemode[“Azione – T1562.009 Avvio in Modalità Provvisoria Aggiunge una chiave di registro sotto SafeBoot Network per la persistenza del servizio”] class action_safemode action malware_simplehelp[“Malware – SimpleHelp 5.0.1 (craccato) Strumento di amministrazione remota firmato da SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“Malware – ConnectWise ScreenConnect (craccato) Strumento di amministrazione remota firmato da ConnectWise”] class malware_screenconnect malware c2_simplehelp[“C2 – UDP 84.200.205.233:5555 Usato da SimpleHelp per il beaconing”] class c2_simplehelp c2 c2_screenconnect[“C2 – TCP sslzeromail.run.place:8041 Usato dal relay di ScreenConnect”] class c2_screenconnect c2 tool_sessionwin[“Strumento – session_win.exe Ruba il token di winlogon.exe per generare processi nella sessione utente”] class tool_sessionwin tool tool_elevwin[“Strumento – elev_win.exe Crea processi con CreateProcessAsUserW usando il token rubato”] class tool_elevwin tool process_netsh[“Processo – netsh wlan show interfaces Eseguito ogni ~15 s per individuare la configurazione di rete”] class process_netsh process process_wmic[“Processo – wmic.exe.bak query SecurityCenter2 Eseguito ogni ~67 s per individuare prodotti AV/Firewall”] class process_wmic process action_masquerade[“Azione – T1036.003 Mascheramento Rinomina wmic.exe in wmic.exe.bak per nascondere l’utilità”] class action_masquerade action action_dynamic[“Azione – T1568 Risoluzione Dinamica Raccoglie informazioni sulle interfacce per adattare gli endpoint C2”] class action_dynamic action %% Connessioni di Flusso action_impersonation –>|porta_a| action_phishing action_phishing –>|usa| action_infra action_infra –>|ospita| action_execution action_execution –>|attiva| action_uac action_uac –>|abilita| action_service action_service –>|aggiunge| action_safemode action_safemode –>|supporta| malware_simplehelp malware_simplehelp –>|comunica con| c2_simplehelp malware_screenconnect –>|comunica con| c2_screenconnect malware_simplehelp –>|installa| tool_sessionwin malware_screenconnect –>|installa| tool_elevwin tool_sessionwin –>|esegue| action_masquerade tool_elevwin –>|esegue| process_netsh process_netsh –>|alimenta| action_dynamic process_wmic –>|alimenta| action_dynamic action_dynamic –>|informa| c2_screenconnect action_dynamic –>|informa| c2_simplehelp tool_sessionwin –>|esegue| action_masquerade process_wmic –>|esegue| action_masquerade %% Assegnazioni delle Classi class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Flusso di Attacco

Narrativa dell’Attacco & Comandi:

L’attaccante riceve un allegato di phishing (T1566.001) che rilascia un payload malevolo denominato statement5648.exe nella directory %TEMP% . Per eludere il rilevamento, il file è firmato con un certificato valido (codice offuscato – T1027) ed è eseguito come un servizio Windows (T1543.003) per persistere. Poiché il nome dell’eseguibile corrisponde a uno dei suffissi della regola, Sysmon registra un EventID 1 con Immagine che termina in statement5648.exe, che dovrebbe attivare la regola di rilevamento. L’attaccante disabilita anche l’antivirus (T1562.009) e tenta un bypass UAC (T1548.002) per ottenere privilegi elevati.

Script di Test di Regressione:

#------------------------------------------------------------
# Simulazione di Campagna di Phishing Dual‑RMM – attiva la regola Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Rilascia un eseguibile fittizio (copia di notepad.exe) e rinominalo
Write-Host "[*] Rilasciando payload mascherato in $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Crea un servizio Windows che esegue il payload (persistenza)
Write-Host "[*] Installando il servizio $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Avvia il servizio – questo genera l'evento Sysmon ProcessCreate
Write-Host "[*] Avviando il servizio $serviceName"
sc.exe start $serviceName > $null

# 4. FACOLTATIVO: Simulare il bypass UAC / impersonificazione del token (nessuna operazione di placeholder)
#    In un vero test di simulazione, ciò coinvolgerebbe Invoke-BypassUAC o simili.
Write-Host "[*] Simulazione completata – verifica SIEM per rilevamento."
#------------------------------------------------------------

Comandi di Pulizia:

#------------------------------------------------------------
# Pulizia per simulazione Dual‑RMM
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Ferma ed elimina il servizio
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Rimuovi l'eseguibile fasullo
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Pulizia completata."
#------------------------------------------------------------

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis