VENOMOUS#HELPER: 이중 RMM 피싱 캠페인에서 JWrapper로 패킹된 SimpleHelp 및 ScreenConnect를 사용하여 무음 원격 액세스 제공

Ruslan Mikhalov SOC Prime에서 위협 연구 책임자

팔로우

VENOMOUS#HELPER: 이중 RMM 피싱 캠페인에서 JWrapper로 패킹된 SimpleHelp 및 ScreenConnect를 사용하여 무음 원격 액세스 제공

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

피싱 캠페인은 JWrapper로 포장된 실행 파일을 배포하기 위해 멕시코 웹 사이트를 이용하고 있으며, 이 실행 파일은 정품 원격 관리 도구인 SimpleHelp와 ScreenConnect를 설치합니다. 두 바이너리는 서명되어 일반적으로 신뢰할 수 있지만, 공격자는 이를 남몰래 지속적으로 원격 접근을 허용하기 위해 윈도우 서비스와 안전 모드 레지스트리 수정으로 악용합니다. 2025년 4월 이후로 이 활동은 미국, 서유럽 및 라틴 아메리카의 80개 이상의 조직에 영향을 미쳤습니다. 비록 책임소재는 명확하지 않지만, 이 캠페인은 금전적 동기가 있는 것으로 보입니다.

조사

Securonix는 전송된 페이로드에 대한 동적 분석을 수행하여 SimpleHelp 5.0.1과 ConnectWise ScreenConnect를 중심으로 한 이중 채널 원격 접근 설정을 발견했습니다. 매일웨어는 윈도우 서비스로 설치되고, 안전 모드로 부팅해도 지속성을 유지하기 위해 SafeBoot 레지스트리 항목을 만듭니다. 설치된 보안 제품을 식별하고 사용자가 머신에 있는지를 확인하기 위해 반복되는 폴링 루프를 사용합니다. 조사관들은 또한 이름이 변경된 wmic.exe.bak 바이너리가 이름 기반 탐지를 우회하는 데 사용되었습니다.

대응 방안

보안팀은 원격 접근 서비스 윈도우 서비스의 생성, 관련된 SafeBoot 레지스트리 항목 및 wmic.exe.bak 의 출현을 모니터링해야 합니다 System32wbem 디렉토리 내에서. 네트워크 방어는 84.200.205.233:5555 로의 아웃바운드 UDP 트래픽과 sslzeromail.run.place:8041로의 TCP 트래픽을 차단해야 합니다. 방어자는 또한 악성 서비스를 제거하고 이름이 변경된 유틸리티 및 침입과 연관된 기타 아티팩트를 사냥하면서 관련 파일을 삭제해야 합니다.

대응

이 활동이 탐지되면 즉시 영향을 받은 시스템을 격리하고, 악성 서비스를 중지하고 제거하며, SafeBoot 레지스트리 항목을 삭제하고, 호스트에서 JWrapper 설치 디렉토리를 삭제해야 합니다. 그 후 조사관들은 포렌식 분석을 수행하여 측면 이동 발생 여부를 결정하고 탐지 논리를 업데이트하여 캠페인에서 관찰된 특정 프로세스 체인과 명령 패턴을 포착해야 합니다. 관련 이해당사자에게 통보하고 추가 피해자를 식별하기 위한 광범위한 위협 사냥을 고려해야 합니다.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation["Action – T1656 Impersonation Email spoofing of US SSA to lure victims"] class action_impersonation action action_phishing["Action – T1566.001 Phishing Spearphishing attachment with link to compromised Mexican domains"] class action_phishing action action_infra["Action – T1584.001 Compromise Infrastructure Compromise legitimate .com.mx sites to host landing page and payload"] class action_infra action action_execution["Action – Execution Victim runs JWrapper‑packed statement5648.exe which extracts config, drops private JRE and launches Java payload"] class action_execution action action_uac["Action – T1548.002 Bypass UAC UAC prompt shows trusted SimpleHelp publisher allowing install"] class action_uac action action_service["Action – T1543.003 Create or Modify System Process Registers Windows service "Remote Access Service""] class action_service action action_safemode["Action – T1562.009 Safe Mode Boot Adds registry key under SafeBoot Network for service persistence"] class action_safemode action malware_simplehelp["Malware – SimpleHelp 5.0.1 (cracked) Remote administration tool signed by SimpleHelp"] class malware_simplehelp malware malware_screenconnect["Malware – ConnectWise ScreenConnect (cracked) Remote administration tool signed by ConnectWise"] class malware_screenconnect malware c2_simplehelp["C2 – UDP 84.200.205.233:5555 Used by SimpleHelp for beaconing"] class c2_simplehelp c2 c2_screenconnect["C2 – TCP sslzeromail.run.place:8041 Used by ScreenConnect relay"] class c2_screenconnect c2 tool_sessionwin["Tool – session_win.exe Steals winlogon.exe token to spawn processes in user session"] class tool_sessionwin tool tool_elevwin["Tool – elev_win.exe Creates processes with CreateProcessAsUserW using stolen token"] class tool_elevwin tool process_netsh["Process – netsh wlan show interfaces Runs every ~15 s to discover network configuration"] class process_netsh process process_wmic["Process – wmic.exe.bak query SecurityCenter2 Runs every ~67 s to discover AV/Firewall products"] class process_wmic process action_masquerade["Action – T1036.003 Masquerading Renames wmic.exe to wmic.exe.bak to hide utility"] class action_masquerade action action_dynamic["Action – T1568 Dynamic Resolution

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation[“Action – T1656 Impersonation Email spoofing of US SSA to lure victims”] class action_impersonation action action_phishing[“Action – T1566.001 Phishing Spearphishing attachment with link to compromised Mexican domains”] class action_phishing action action_infra[“Action – T1584.001 Compromise Infrastructure Compromise legitimate .com.mx sites to host landing page and payload”] class action_infra action action_execution[“Action – Execution Victim runs JWrapper‑packed statement5648.exe which extracts config, drops private JRE and launches Java payload”] class action_execution action action_uac[“Action – T1548.002 Bypass UAC UAC prompt shows trusted SimpleHelp publisher allowing install”] class action_uac action action_service[“Action – T1543.003 Create or Modify System Process Registers Windows service “Remote Access Service””] class action_service action action_safemode[“Action – T1562.009 Safe Mode Boot Adds registry key under SafeBoot Network for service persistence”] class action_safemode action malware_simplehelp[“Malware – SimpleHelp 5.0.1 (cracked) Remote administration tool signed by SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“Malware – ConnectWise ScreenConnect (cracked) Remote administration tool signed by ConnectWise”] class malware_screenconnect malware c2_simplehelp[“C2 – UDP 84.200.205.233:5555 Used by SimpleHelp for beaconing”] class c2_simplehelp c2 c2_screenconnect[“C2 – TCP sslzeromail.run.place:8041 Used by ScreenConnect relay”] class c2_screenconnect c2 tool_sessionwin[“Tool – session_win.exe Steals winlogon.exe token to spawn processes in user session”] class tool_sessionwin tool tool_elevwin[“Tool – elev_win.exe Creates processes with CreateProcessAsUserW using stolen token”] class tool_elevwin tool process_netsh[“Process – netsh wlan show interfaces Runs every ~15 s to discover network configuration”] class process_netsh process process_wmic[“Process – wmic.exe.bak query SecurityCenter2 Runs every ~67 s to discover AV/Firewall products”] class process_wmic process action_masquerade[“Action – T1036.003 Masquerading Renames wmic.exe to wmic.exe.bak to hide utility”] class action_masquerade action action_dynamic[“Action – T1568 Dynamic Resolution Collects interface info to adapt C2 endpoints”] class action_dynamic action %% Flow Connections action_impersonation –>|leads_to| action_phishing action_phishing –>|uses| action_infra action_infra –>|hosts| action_execution action_execution –>|triggers| action_uac action_uac –>|enables| action_service action_service –>|adds| action_safemode action_safemode –>|supports| malware_simplehelp malware_simplehelp –>|communicates with| c2_simplehelp malware_screenconnect –>|communicates with| c2_screenconnect malware_simplehelp –>|installs| tool_sessionwin malware_screenconnect –>|installs| tool_elevwin tool_sessionwin –>|performs| action_masquerade tool_elevwin –>|executes| process_netsh process_netsh –>|feeds| action_dynamic process_wmic –>|feeds| action_dynamic action_dynamic –>|informs| c2_screenconnect action_dynamic –>|informs| c2_simplehelp tool_sessionwin –>|performs| action_masquerade process_wmic –>|performs| action_masquerade %% Class Assignments class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

공격 흐름

공격 내러티브 및 명령:

공격자는 statement5648.exe 이라는 악성 페이로드를 떨어뜨리는 피싱 첨부 파일 (T1566.001)을 받습니다. %TEMP% 디렉토리에 위치합니다. 탐지를 피하기 위해, 파일은 유효한 인증서로 서명되어 있고 (암호화된 코드 – T1027), 지속을 위해 윈도우 서비스 (T1543.003)로 실행됩니다. 실행 파일 이름이 규칙 접미사와 일치하기 때문에, Sysmon은 Image 로 끝나는 EventID 1을 기록하며, 이는 탐지 규칙을 촉발해야 합니다. 공격자는 또한 안티바이러스를 비활성화하고 (T1562.009), 특권 상승을 위해 UAC 우회를 시도합니다 (T1548.002). statement5648.exe, which should fire the detection rule. The attacker also disables antivirus (T1562.009) and attempts UAC bypass (T1548.002) to gain elevated privileges.

회귀 테스트 스크립트:

#------------------------------------------------------------
# Dual‑RMM 피싱 캠페인 시뮬레이션 – Sigma 규칙 트리거
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. 더미 실행 파일 (notepad.exe 복사본)을 떨어뜨리고 이름 변경
Write-Host "[*] 위장된 페이로드를 $payloadPath에 떨어뜨립니다"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. 페이로드를 실행하는 윈도우 서비스를 생성 (지속성)
Write-Host "[*] 서비스 $serviceName 설치 중"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. 서비스를 시작합니다 - 이는 Sysmon ProcessCreate 이벤트를 생성합니다
Write-Host "[*] 서비스 $serviceName 시작 중"
sc.exe start $serviceName > $null

# 4. 선택 사항: UAC 우회 / 토큰 가장 시뮬레이션 (작업 없음 플레이스홀더)
#    실제 레드팀 실행에서는 이와 유사한 Invoke-BypassUAC를 포함합니다.
Write-Host "[*] 시뮬레이션 완료 – 감지를 위해 SIEM을 확인합니다."
#------------------------------------------------------------

정리 명령:

#------------------------------------------------------------
# Dual‑RMM 시뮬레이션 정리
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# 서비스 중지 및 삭제
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# 잘못된 실행 파일 제거
Remove-Item -Path $payloadPath -Force

Write-Host "[*] 정리 완료."
#------------------------------------------------------------

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입