SOC Prime Bias: Medio

05 Jan 2026 14:56 UTC

ScreenConnect Frode: Tattiche Comuni di Ingegneria Sociale che Abbiamo Osservato nel 2025

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
ScreenConnect Frode: Tattiche Comuni di Ingegneria Sociale che Abbiamo Osservato nel 2025
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sintesi

Gli attori delle minacce stanno distribuendo client ScreenConnect dannosi (monitoraggio e gestione remota) attraverso esche di ingegneria sociale come false dichiarazioni della Sicurezza Sociale, lettere di invito e documenti di fattura. Le esche sono distribuite via email di phishing e pagine web dannose, portando le vittime a scaricare eseguibili ScreenConnect rinominati. Una volta installato, l’RMM canaglia fornisce all’attaccante un accesso remoto persistente all’host compromesso.

Indagine

Huntress ha osservato dozzine di incidenti tra gennaio e settembre 2025 in cui i binari ScreenConnect rinominati sono stati eseguiti su endpoint in vari settori. Il SOC ha raccolto nomi di dominio associati, indirizzi IP e hash dei file, notando l’uso ripetuto di servizi DNS dinamici e schemi specifici di denominazione delle esche. Un’analisi dettagliata dei log ha mostrato il client dannoso contattare domini controllati dall’attaccante per comando e controllo.

Mitigazione

Le organizzazioni dovrebbero rafforzare la formazione sulla consapevolezza della sicurezza per individuare dichiarazioni, fatture e file di invito falsi. È consigliato il monitoraggio continuo degli strumenti di accesso remoto, la restrizione dell’esecuzione di binari RMM non firmati e l’audit delle connessioni di rete a domini noti come malevoli. Mantenere aggiornato il software RMM e inserire nella whitelist solo le istanze autorizzate.

Risposta

Alla rilevazione di un eseguibile ScreenConnect rinominato, isolare l’endpoint, raccogliere il binario e il traffico di rete associato, e bloccare il dominio C2 al firewall. Esegui un’analisi forense per identificare i meccanismi di persistenza e movimenti laterali, quindi rimedia i conti compromessi e reimposta le credenziali.

Flusso d’attacco

Esecuzione Simulazione

Prerequisito: Il Controllo Prevolo di Telemetria e Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria attesa dalla logica di rilevamento.

  • Narrazione e Comandi d’Attacco:
    Un attaccante crea un’email di phishing con un allegato chiamato Social_Security_Statement_redacted.exe che in realtà contiene un’installazione legittima di ScreenConnect (o qualsiasi payload). La vittima, credendo che sia un documento finanziario personale, fa doppio clic sul file. Il sistema operativo lancia l’eseguibile, producendo un evento di creazione processo dove il Immagine il campo termina con il nome del file malevolo. Questo esatto schema corrisponde alla regola Sigma e dovrebbe sollevare un allarme.

  • Script di Test di Regressione:

    # --------------------------------------------------------------
    # Script di simulazione – attiva la regola "ScreenConnect Rogue"
    # --------------------------------------------------------------
    
    # 1. Preparare un payload benigno (es. calc.exe) e rinominarlo
    $src = "$env:SystemRootSystem32calc.exe"
    $dst = "$env:TempSocial_Security_Statement_redacted.exe"
    
    Copy-Item -Path $src -Destination $dst -Force
    
    # 2. Impostare eventualmente l'attributo nascosto per simulare l'evasione (T1564.004)
    attrib +h $dst
    
    # 3. Eseguire il payload rinominato (simulando il clic dell'utente)
    Start-Process -FilePath $dst
    
    # 4. Attendere brevemente per garantire la registrazione
    Start-Sleep -Seconds 5
    
    # 5. Output di conferma
    Write-Host "Eseguito $dst – dovrebbe generare telemetria di rilevamento."
  • Comandi di Pulizia:

    # Rimuovere l'eseguibile apparentemente malevolo e cancellare attributo
    $file = "$env:TempSocial_Security_Statement_redacted.exe"
    if (Test-Path $file) {
        attrib -h $file
        Remove-Item -Path $file -Force
        Write-Host "Pulizia completa: $file rimosso."
    } else {
        Write-Host "File non trovato; nulla da pulire."
    }

Fine del Report