SOC Prime Bias: Medio

06 May 2026 11:31 UTC

VENOMOUS#HELPER: Campagna di Phishing Dual-RMM Utilizza JWrapper per Impacchettare SimpleHelp e ScreenConnect per Accesso Remoto Silenzioso

Author Photo
SOC Prime Team linkedin icon Segui
VENOMOUS#HELPER: Campagna di Phishing Dual-RMM Utilizza JWrapper per Impacchettare SimpleHelp e ScreenConnect per Accesso Remoto Silenzioso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Una campagna di phishing ha utilizzato un sito web messicano compromesso per distribuire un eseguibile impacchettato con JWrapper che installa i legittimi strumenti di gestione remota SimpleHelp e ScreenConnect. Anche se entrambi i binari sono firmati e normalmente considerati attendibili, gli attaccanti li sfruttano per ottenere accesso remoto persistente e silente attraverso i servizi di Windows e le modifiche al registro in modalità provvisoria. Da aprile 2025, l’attività ha colpito più di 80 organizzazioni negli Stati Uniti, nell’Europa occidentale e in America Latina. Sebbene l’attribuzione rimanga incerta, la campagna sembra essere motivata finanziariamente.

Indagine

Securonix ha condotto un’analisi dinamica del payload consegnato e ha scoperto una configurazione di accesso remoto a doppio canale costruita attorno a SimpleHelp 5.0.1 e ConnectWise ScreenConnect. Il malware si installa come servizio di Windows, crea una voce di registro SafeBoot per sopravvivere ai riavvii in modalità provvisoria e utilizza cicli di polling ripetuti per identificare i prodotti di sicurezza installati e determinare se un utente è presente sulla macchina. Gli investigatori hanno anche scoperto che un binario rinominato wmic.exe.bak è stato utilizzato come parte della catena di esecuzione per aiutare a bypassare i rilevamenti basati sul nome.

Mitigazione

I team di sicurezza dovrebbero monitorare la creazione del servizio Windows Remote Access Service, la voce di registro SafeBoot associata, e la comparsa di Windows service, the associated SafeBoot registry entry, and the appearance of binario rinominato wmic.exe.bak all’interno della directory System32wbem. Le difese di rete devono bloccare il traffico UDP in uscita verso directory. Network defenses should block outbound UDP traffic to 84.200.205.233:5555 e il traffico TCP verso sslzeromail.run.place:8041. I difensori dovrebbero anche rimuovere il servizio malevolo e i file correlati mentre cercano utilità rinominate e altri artefatti legati all’intrusione.

Risposta

Se questa attività viene rilevata, isolare immediatamente il sistema infetto, fermare e rimuovere il servizio malevolo, eliminare la voce di registro SafeBoot e rimuovere la directory di installazione di JWrapper dall’host. Gli investigatori dovrebbero quindi eseguire un’analisi forense per determinare se si è verificato un movimento laterale e aggiornare la logica di rilevamento per intercettare le catene di processo specifiche e i modelli di comando osservati nella campagna. Le parti interessate rilevanti dovrebbero essere informate e si dovrebbe considerare una caccia alle minacce più ampia per identificare ulteriori vittime.

Flusso di Attacco

Rilevazioni

Agente SimpleHelp Eseguito dalla Directory di Accesso Remoto JWrapper (tramite process_creation)

Team SOC Prime
05 maggio 2026

Possibile Enumerazione di Software Antivirus o Firewall (tramite process_creation)

Team SOC Prime
05 maggio 2026

Software Alternativo di Accesso Remoto / Gestione (tramite process_creation)

Team SOC Prime
05 maggio 2026

Possibile Tentativo di Utilizzo di Simple Help RMM (tramite file_event)

Team SOC Prime
05 maggio 2026

Indicatori di Compromissione (HashSha512) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente

Regole AI SOC Prime
05 maggio 2026

Indicatori di Compromissione (HashSha256) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente

Regole AI SOC Prime
05 maggio 2026

Indicatori di Compromissione (HashMd5) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente

Regole AI SOC Prime
05 maggio 2026

Indicatori di Compromissione (SourceIP) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente

Regole AI SOC Prime
05 maggio 2026

Indicatori di Compromissione (DestinationIP) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente

Regole AI SOC Prime
05 maggio 2026

Monitoraggio per Attività Potenziale RAT da wmic.exe Rinominato e Comandi di Interfaccia Wi-Fi [Windows Sysmon]

Regole AI SOC Prime
05 maggio 2026

Rilevazione della Campagna di Phishing Dual-RMM Utilizzando SimpleHelp e ScreenConnect [Creazione di Processo Windows]

Regole AI SOC Prime
05 maggio 2026

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.

Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:

    L’attaccante riceve un allegato di phishing (T1566.001) che rilascia un payload malevolo denominato statement5648.exe nella directory %TEMP% . Per eludere il rilevamento, il file è firmato con un certificato valido (codice offuscato – T1027) ed è eseguito come un servizio Windows (T1543.003) per persistere. Poiché il nome dell’eseguibile corrisponde a uno dei suffissi della regola, Sysmon registra un EventID 1 con Immagine che termina in statement5648.exe, che dovrebbe attivare la regola di rilevamento. L’attaccante disabilita anche l’antivirus (T1562.009) e tenta un bypass UAC (T1548.002) per ottenere privilegi elevati.

  • Script di Test di Regressione:

    #------------------------------------------------------------
    # Simulazione di Campagna di Phishing Dual‑RMM – attiva la regola Sigma
    #------------------------------------------------------------
    $payloadPath = "$env:TEMPstatement5648.exe"
    $serviceName = "DualRMMHelper"
    
    # 1. Rilascia un eseguibile fittizio (copia di notepad.exe) e rinominalo
    Write-Host "[*] Rilasciando payload mascherato in $payloadPath"
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force
    
    # 2. Crea un servizio Windows che esegue il payload (persistenza)
    Write-Host "[*] Installando il servizio $serviceName"
    sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null
    
    # 3. Avvia il servizio – questo genera l'evento Sysmon ProcessCreate
    Write-Host "[*] Avviando il servizio $serviceName"
    sc.exe start $serviceName > $null
    
    # 4. FACOLTATIVO: Simulare il bypass UAC / impersonificazione del token (nessuna operazione di placeholder)
    #    In un vero test di simulazione, ciò coinvolgerebbe Invoke-BypassUAC o simili.
    Write-Host "[*] Simulazione completata – verifica SIEM per rilevamento."
    #------------------------------------------------------------
  • Comandi di Pulizia:

    #------------------------------------------------------------
    # Pulizia per simulazione Dual‑RMM
    #------------------------------------------------------------
    $serviceName = "DualRMMHelper"
    $payloadPath = "$env:TEMPstatement5648.exe"
    
    # Ferma ed elimina il servizio
    sc.exe stop $serviceName > $null
    sc.exe delete $serviceName > $null
    
    # Rimuovi l'eseguibile fasullo
    Remove-Item -Path $payloadPath -Force
    
    Write-Host "[*] Pulizia completata."
    #------------------------------------------------------------