SOC Prime Bias: Medio

05 Gen 2026 17:56
newspaper icon Huntress

ScreenConnect Frode: Tattiche Comuni di Ingegneria Sociale che Abbiamo Osservato nel 2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
ScreenConnect Frode: Tattiche Comuni di Ingegneria Sociale che Abbiamo Osservato nel 2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sintesi

Gli attori delle minacce stanno distribuendo client ScreenConnect dannosi (monitoraggio e gestione remota) attraverso esche di ingegneria sociale come false dichiarazioni della Sicurezza Sociale, lettere di invito e documenti di fattura. Le esche sono distribuite via email di phishing e pagine web dannose, portando le vittime a scaricare eseguibili ScreenConnect rinominati. Una volta installato, l’RMM canaglia fornisce all’attaccante un accesso remoto persistente all’host compromesso.

Indagine

Huntress ha osservato dozzine di incidenti tra gennaio e settembre 2025 in cui i binari ScreenConnect rinominati sono stati eseguiti su endpoint in vari settori. Il SOC ha raccolto nomi di dominio associati, indirizzi IP e hash dei file, notando l’uso ripetuto di servizi DNS dinamici e schemi specifici di denominazione delle esche. Un’analisi dettagliata dei log ha mostrato il client dannoso contattare domini controllati dall’attaccante per comando e controllo.

Mitigazione

Le organizzazioni dovrebbero rafforzare la formazione sulla consapevolezza della sicurezza per individuare dichiarazioni, fatture e file di invito falsi. È consigliato il monitoraggio continuo degli strumenti di accesso remoto, la restrizione dell’esecuzione di binari RMM non firmati e l’audit delle connessioni di rete a domini noti come malevoli. Mantenere aggiornato il software RMM e inserire nella whitelist solo le istanze autorizzate.

Risposta

Alla rilevazione di un eseguibile ScreenConnect rinominato, isolare l’endpoint, raccogliere il binario e il traffico di rete associato, e bloccare il dominio C2 al firewall. Esegui un’analisi forense per identificare i meccanismi di persistenza e movimenti laterali, quindi rimedia i conti compromessi e reimposta le credenziali.

graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#cccccc classDef operator fill:#ff9900 %% Node definitions tech_initial_access_phishing[“<b>Tecnica</b> – <b>T1566 Phishing</b><br /><b>Descrizione</b>: Gli attori delle minacce inviano email elaborate che si spacciano per dichiarazioni della Sicurezza Sociale, fatture o inviti con link dannosi.”] class tech_initial_access_phishing technique tech_malicious_link[“<b>Tecnica</b> – <b>T1204.001 Link Maligno</b><br /><b>Descrizione</b>: La vittima clicca un link maligno che reindirizza a una pagina di download.”] class tech_malicious_link technique tech_malicious_file[“<b>Tecnica</b> – <b>T1204.002 File Maligno</b><br /><b>Descrizione</b>: La vittima scarica ed esegue un eseguibile mascherato da documento o invito.”] class tech_malicious_file technique op_user_execution((“Esecuzione Utente”)) class op_user_execution operator tech_masquerading[“<b>Tecnica</b> – <b>T1036 Mascheramento</b><br /><b>Sotto-tecniche</b>: T1036.008 Mascherare Tipo di File, T1036.003 Rinomina Utilità Legittime, T1036.007 Doppia Estensione di File<br /><b>Descrizione</b>: Il payload è rinominato per apparire legittimo ed evitare la rilevazione.”] class tech_masquerading technique tech_rat_installation[“<b>Tecnica</b> – <b>T1219 Installazione Strumento di Accesso Remoto</b><br /><b>Descrizione</b>: Installazione di un client ScreenConnect che fornisce capacità di monitoraggio e gestione remota.”] class tech_rat_installation technique tool_screenconnect[“<b>Strumento</b> – <b>Nome</b>: ScreenConnect (ConnectWise Control)<br /><b>Descrizione</b>: Software di accesso remoto usato come RAT.”] class tool_screenconnect tool tech_dynamic_dns[“<b>Tecnica</b> – <b>T1568.002 Algoritmi di Generazione di Dominio</b><br /><b>Descrizione</b>: Utilizza servizi DNS dinamici e domini generati per la comunicazione C2.”] class tech_dynamic_dns technique tech_app_layer_dns[“<b>Tecnica</b> – <b>T1071.004 Protocollo di Livello Applicativo: DNS</b><br /><b>Descrizione</b>: Traffico C2 trasmesso tramite query DNS.”] class tech_app_layer_dns technique tech_app_layer_web[“<b>Tecnica</b> – <b>T1071.001 Protocollo di Livello Applicativo: Web</b><br /><b>Descrizione</b>: Traffico C2 trasmesso tramite protocolli web HTTPS.”] class tech_app_layer_web technique tech_web_service_bidirectional[“<b>Tecnica</b> – <b>T1102.002 Servizio Web: Comunicazione Bidirezionale</b><br /><b>Descrizione</b>: Utilizza un servizio web per la comunicazione C2 bidirezionale.”] class tech_web_service_bidirectional technique tech_external_remote_services[“<b>Tecnica</b> – <b>T1133 Servizi Remoti Esterni</b><br /><b>Descrizione</b>: Mantiene la persistenza tramite servizi remoti esterni consentendo l’accesso in corso.”] class tech_external_remote_services technique tech_hide_artifacts[“<b>Tecnica</b> – <b>T1564.012 Nascondi Artifacts: Esclusioni File/Percorso</b><br /><b>Descrizione</b>: Configura esclusioni per nascondere file maligni dagli strumenti di sicurezza.”] class tech_hide_artifacts technique tech_passive_dns[“<b>Tecnica</b> – <b>T1596.001 Cerca in Basi Dati Tecnici Aperte: DNS Passivo</b><br /><b>Descrizione</b>: Utilizza dati DNS passivi per scoprire o registrare domini maligni.”] class tech_passive_dns technique %% Connections tech_initial_access_phishing u002du002d>|delivers| op_user_execution op_user_execution u002du002d>|uses| tech_malicious_link op_user_execution u002du002d>|uses| tech_malicious_file op_user_execution u002du002d>|leads to| tech_masquerading tech_masquerading u002du002d>|enables| tech_rat_installation tech_rat_installation u002du002d>|installs| tool_screenconnect tool_screenconnect u002du002d>|contacts| tech_dynamic_dns tool_screenconnect u002du002d>|uses| tech_app_layer_dns tool_screenconnect u002du002d>|uses| tech_app_layer_web tool_screenconnect u002du002d>|uses| tech_web_service_bidirectional tech_dynamic_dns u002du002d>|supports| tech_external_remote_services tech_external_remote_services u002du002d>|enables| tech_passive_dns tech_dynamic_dns u002du002d>|supports| tech_hide_artifacts

Flusso d’attacco

Esecuzione Simulazione

Prerequisito: Il Controllo Prevolo di Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria attesa dalla logica di rilevamento.

  • Narrazione e Comandi d’Attacco:
    Un attaccante crea un’email di phishing con un allegato chiamato Social_Security_Statement_redacted.exe che in realtà contiene un’installazione legittima di ScreenConnect (o qualsiasi payload). La vittima, credendo che sia un documento finanziario personale, fa doppio clic sul file. Il sistema operativo lancia l’eseguibile, producendo un evento di creazione processo dove il Immagine il campo termina con il nome del file malevolo. Questo esatto schema corrisponde alla regola Sigma e dovrebbe sollevare un allarme.

  • Script di Test di Regressione:

    # --------------------------------------------------------------
# Script di simulazione – attiva la regola "ScreenConnect Rogue"
# --------------------------------------------------------------

# 1. Preparare un payload benigno (es. calc.exe) e rinominarlo
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:TempSocial_Security_Statement_redacted.exe"

Copy-Item -Path $src -Destination $dst -Force

# 2. Impostare eventualmente l'attributo nascosto per simulare l'evasione (T1564.004)
attrib +h $dst

# 3. Eseguire il payload rinominato (simulando il clic dell'utente)
Start-Process -FilePath $dst

# 4. Attendere brevemente per garantire la registrazione
Start-Sleep -Seconds 5

# 5. Output di conferma
Write-Host "Eseguito $dst – dovrebbe generare telemetria di rilevamento."

  • Comandi di Pulizia:

    # Rimuovere l'eseguibile apparentemente malevolo e cancellare attributo
$file = "$env:TempSocial_Security_Statement_redacted.exe"
if (Test-Path $file) {
    attrib -h $file
    Remove-Item -Path $file -Force
    Write-Host "Pulizia completa: $file rimosso."
} else {
    Write-Host "File non trovato; nulla da pulire."
}

Fine del Report

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis