VENOMOUS#HELPER: Campagna di Phishing Dual-RMM Utilizza JWrapper per Impacchettare SimpleHelp e ScreenConnect per Accesso Remoto Silenzioso
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Una campagna di phishing ha utilizzato un sito web messicano compromesso per distribuire un eseguibile impacchettato con JWrapper che installa i legittimi strumenti di gestione remota SimpleHelp e ScreenConnect. Anche se entrambi i binari sono firmati e normalmente considerati attendibili, gli attaccanti li sfruttano per ottenere accesso remoto persistente e silente attraverso i servizi di Windows e le modifiche al registro in modalità provvisoria. Da aprile 2025, l’attività ha colpito più di 80 organizzazioni negli Stati Uniti, nell’Europa occidentale e in America Latina. Sebbene l’attribuzione rimanga incerta, la campagna sembra essere motivata finanziariamente.
Indagine
Securonix ha condotto un’analisi dinamica del payload consegnato e ha scoperto una configurazione di accesso remoto a doppio canale costruita attorno a SimpleHelp 5.0.1 e ConnectWise ScreenConnect. Il malware si installa come servizio di Windows, crea una voce di registro SafeBoot per sopravvivere ai riavvii in modalità provvisoria e utilizza cicli di polling ripetuti per identificare i prodotti di sicurezza installati e determinare se un utente è presente sulla macchina. Gli investigatori hanno anche scoperto che un binario rinominato wmic.exe.bak è stato utilizzato come parte della catena di esecuzione per aiutare a bypassare i rilevamenti basati sul nome.
Mitigazione
I team di sicurezza dovrebbero monitorare la creazione del servizio Windows Remote Access Service, la voce di registro SafeBoot associata, e la comparsa di Windows service, the associated SafeBoot registry entry, and the appearance of binario rinominato wmic.exe.bak all’interno della directory System32wbem. Le difese di rete devono bloccare il traffico UDP in uscita verso directory. Network defenses should block outbound UDP traffic to 84.200.205.233:5555 e il traffico TCP verso sslzeromail.run.place:8041. I difensori dovrebbero anche rimuovere il servizio malevolo e i file correlati mentre cercano utilità rinominate e altri artefatti legati all’intrusione.
Risposta
Se questa attività viene rilevata, isolare immediatamente il sistema infetto, fermare e rimuovere il servizio malevolo, eliminare la voce di registro SafeBoot e rimuovere la directory di installazione di JWrapper dall’host. Gli investigatori dovrebbero quindi eseguire un’analisi forense per determinare se si è verificato un movimento laterale e aggiornare la logica di rilevamento per intercettare le catene di processo specifiche e i modelli di comando osservati nella campagna. Le parti interessate rilevanti dovrebbero essere informate e si dovrebbe considerare una caccia alle minacce più ampia per identificare ulteriori vittime.
Flusso di Attacco
Rilevazioni
Agente SimpleHelp Eseguito dalla Directory di Accesso Remoto JWrapper (tramite process_creation)
Visualizza
Possibile Enumerazione di Software Antivirus o Firewall (tramite process_creation)
Visualizza
Software Alternativo di Accesso Remoto / Gestione (tramite process_creation)
Visualizza
Possibile Tentativo di Utilizzo di Simple Help RMM (tramite file_event)
Visualizza
Indicatori di Compromissione (HashSha512) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente
Visualizza
Indicatori di Compromissione (HashSha256) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente
Visualizza
Indicatori di Compromissione (HashMd5) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente
Visualizza
Indicatori di Compromissione (SourceIP) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente
Visualizza
Indicatori di Compromissione (DestinationIP) a rilevare: VENOMOUS#HELPER: Campagna di Phishing Dual-RMM che Sfrutta SimpleHelp e ScreenConnect Impacchettati con JWrapper per Accesso Remoto Silente
Visualizza
Monitoraggio per Attività Potenziale RAT da wmic.exe Rinominato e Comandi di Interfaccia Wi-Fi [Windows Sysmon]
Visualizza
Rilevazione della Campagna di Phishing Dual-RMM Utilizzando SimpleHelp e ScreenConnect [Creazione di Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.
Ragionamento: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
L’attaccante riceve un allegato di phishing (T1566.001) che rilascia un payload malevolo denominato
statement5648.exenella directory%TEMP%. Per eludere il rilevamento, il file è firmato con un certificato valido (codice offuscato – T1027) ed è eseguito come un servizio Windows (T1543.003) per persistere. Poiché il nome dell’eseguibile corrisponde a uno dei suffissi della regola, Sysmon registra un EventID 1 conImmagineche termina instatement5648.exe, che dovrebbe attivare la regola di rilevamento. L’attaccante disabilita anche l’antivirus (T1562.009) e tenta un bypass UAC (T1548.002) per ottenere privilegi elevati. -
Script di Test di Regressione:
#------------------------------------------------------------ # Simulazione di Campagna di Phishing Dual‑RMM – attiva la regola Sigma #------------------------------------------------------------ $payloadPath = "$env:TEMPstatement5648.exe" $serviceName = "DualRMMHelper" # 1. Rilascia un eseguibile fittizio (copia di notepad.exe) e rinominalo Write-Host "[*] Rilasciando payload mascherato in $payloadPath" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force # 2. Crea un servizio Windows che esegue il payload (persistenza) Write-Host "[*] Installando il servizio $serviceName" sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null # 3. Avvia il servizio – questo genera l'evento Sysmon ProcessCreate Write-Host "[*] Avviando il servizio $serviceName" sc.exe start $serviceName > $null # 4. FACOLTATIVO: Simulare il bypass UAC / impersonificazione del token (nessuna operazione di placeholder) # In un vero test di simulazione, ciò coinvolgerebbe Invoke-BypassUAC o simili. Write-Host "[*] Simulazione completata – verifica SIEM per rilevamento." #------------------------------------------------------------ -
Comandi di Pulizia:
#------------------------------------------------------------ # Pulizia per simulazione Dual‑RMM #------------------------------------------------------------ $serviceName = "DualRMMHelper" $payloadPath = "$env:TEMPstatement5648.exe" # Ferma ed elimina il servizio sc.exe stop $serviceName > $null sc.exe delete $serviceName > $null # Rimuovi l'eseguibile fasullo Remove-Item -Path $payloadPath -Force Write-Host "[*] Pulizia completata." #------------------------------------------------------------