SOC Prime Bias: Médio

06 Mai 2026 14:31
newspaper icon Securonix

VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Usa SimpleHelp e ScreenConnect Envasados com JWrapper para Acesso Remoto Silencioso

Author Photo
Ruslan Mikhalov Chefe de Pesquisa de Ameaças na SOC Prime linkedin icon Seguir
VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Usa SimpleHelp e ScreenConnect Envasados com JWrapper para Acesso Remoto Silencioso
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Uma campanha de phishing tem usado um site mexicano comprometido para distribuir um executável empacotado com JWrapper que instala as ferramentas legítimas de gerenciamento remoto SimpleHelp e ScreenConnect. Embora ambos os binários sejam assinados e normalmente confiáveis, os atacantes os abusam para obter acesso remoto persistente e silencioso através de modificações nos serviços do Windows e no registro do Modo de Segurança. Desde abril de 2025, a atividade impactou mais de 80 organizações nos Estados Unidos, Europa Ocidental e América Latina. Embora a atribuição permaneça incerta, a campanha parece ser financeiramente motivada.

Investigação

A Securonix conduziu uma análise dinâmica da carga entregue e descobriu uma configuração de acesso remoto de canal duplo baseada no SimpleHelp 5.0.1 e no ConnectWise ScreenConnect. O malware se instala como um serviço do Windows, cria uma entrada no registro SafeBoot para sobreviver a reinicializações no Modo de Segurança e usa laços de polling repetidos para identificar produtos de segurança instalados e determinar se um usuário está presente na máquina. Os investigadores também descobriram que um wmic.exe.bak binário foi usado como parte da cadeia de execução para ajudar a contornar detecções baseadas em nomes.

Mitigação

As equipes de segurança devem monitorar a criação do serviço Remote Access Service do Windows, a entrada de registro associada SafeBoot e o aparecimento de wmic.exe.bak dentro do diretório System32wbem . As defesas de rede devem bloquear o tráfego UDP de saída para 84.200.205.233:5555 e o tráfego TCP para sslzeromail.run.place:8041. Os defensores também devem remover o serviço malicioso e os arquivos relacionados enquanto procuram por utilitários renomeados e outros artefatos ligados à intrusão.

Resposta

Se esta atividade for detectada, isole o sistema afetado imediatamente, pare e remova o serviço malicioso, exclua a entrada de registro SafeBoot e remova o diretório de instalação do JWrapper do host. Os investigadores devem então realizar uma análise forense para determinar se ocorreu movimento lateral e atualizar a lógica de detecção para capturar os cadeias de processos específicos e padrões de comandos observados na campanha. As partes interessadas relevantes devem ser informadas, e uma busca mais ampla por ameaças deve ser considerada para identificar vítimas adicionais.

graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Nodes action_impersonation[“<b>Action</b> – <b>T1656 Impersonation</b><br/>Email spoofing of US SSA to lure victims”] class action_impersonation action action_phishing[“<b>Action</b> – <b>T1566.001 Phishing</b><br/>Spearphishing attachment with link to compromised Mexican domains”] class action_phishing action action_infra[“<b>Action</b> – <b>T1584.001 Compromise Infrastructure</b><br/>Compromise legitimate .com.mx sites to host landing page and payload”] class action_infra action action_execution[“<b>Action</b> – Execution<br/>Victim runs JWrapper–packed statement5648.exe which extracts config, drops private JRE and launches Java payload”] class action_execution action action_uac[“<b>Action</b> – <b>T1548.002 Bypass UAC</b><br/>UAC prompt shows trusted SimpleHelp publisher allowing install”] class action_uac action action_service[“<b>Action</b> – <b>T1543.003 Create or Modify System Process</b><br/>Registers Windows service “Remote Access Service””] class action_service action action_safemode[“<b>Action</b> – <b>T1562.009 Safe Mode Boot</b><br/>Adds registry key under SafeBoot Network for service persistence”] class action_safemode action malware_simplehelp[“<b>Malware</b> – SimpleHelp 5.0.1 (cracked)<br/>Remote administration tool signed by SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“<b>Malware</b> – ConnectWise ScreenConnect (cracked)<br/>Remote administration tool signed by ConnectWise”] class malware_screenconnect malware c2_simplehelp[“<b>C2</b> – UDP 84.200.205.233:5555<br/>Used by SimpleHelp for beaconing”] class c2_simplehelp c2 c2_screenconnect[“<b>C2</b> – TCP sslzeromail.run.place:8041<br/>Used by ScreenConnect relay”] class c2_screenconnect c2 tool_sessionwin[“<b>Tool</b> – session_win.exe<br/>Steals winlogon.exe token to spawn processes in user session”] class tool_sessionwin tool tool_elevwin[“<b>Tool</b> – elev_win.exe<br/>Creates processes with CreateProcessAsUserW using stolen token”] class tool_elevwin tool process_netsh[“<b>Process</b> – netsh wlan show interfaces<br/>Runs every ~15 s to discover network configuration”] class process_netsh process process_wmic[“<b>Process</b> – wmic.exe.bak query SecurityCenter2<br/>Runs every ~67 s to discover AV/Firewall products”] class process_wmic process action_masquerade[“<b>Action</b> – <b>T1036.003 Masquerading</b><br/>Renames wmic.exe to wmic.exe.bak to hide utility”] class action_masquerade action action_dynamic[“<b>Action</b> – <b>T1568 Dynamic Resolution</b><br/>Collects interface info to adapt C2 endpoints”] class action_dynamic action %% Flow Connections action_impersonation –>|leads_to| action_phishing action_phishing –>|uses| action_infra action_infra –>|hosts| action_execution action_execution –>|triggers| action_uac action_uac –>|enables| action_service action_service –>|adds| action_safemode action_safemode –>|supports| malware_simplehelp malware_simplehelp –>|communicates with| c2_simplehelp malware_screenconnect –>|communicates with| c2_screenconnect malware_simplehelp –>|installs| tool_sessionwin malware_screenconnect –>|installs| tool_elevwin tool_sessionwin –>|performs| action_masquerade tool_elevwin –>|executes| process_netsh process_netsh –>|feeds| action_dynamic process_wmic –>|feeds| action_dynamic action_dynamic –>|informs| c2_screenconnect action_dynamic –>|informs| c2_simplehelp tool_sessionwin –>|performs| action_masquerade process_wmic –>|performs| action_masquerade %% Class Assignments class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Fluxo de Ataque

Detecções

Agente SimpleHelp Executado do Diretório de Acesso Remoto JWrapper (via criação_de_processo)

Equipe SOC Prime
05 de maio de 2026

Visualizar

Possível Enumeração de Software Antivirus ou Firewall (via criação_de_processo)

Equipe SOC Prime
05 de maio de 2026

Visualizar

Software Alternativo de Acesso Remoto/Gestão (via criação_de_processo)

Equipe SOC Prime
05 de maio de 2026

Visualizar

Possível Tentativa de Uso do Simple Help RMM (via evento_de_arquivo)

Equipe SOC Prime
05 de maio de 2026

Visualizar

IOCs (HashSha512) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

IOCs (HashSha256) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

IOCs (HashMd5) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

IOCs (SourceIP) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

IOCs (DestinationIP) para detectar: VENOMOUS#HELPER: Campanha de Phishing Dual-RMM Aproveitando SimpleHelp e ScreenConnect Empacotados com JWrapper para Acesso Remoto Silencioso

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

Monitoramento de Atividade Potencial de RAT por Comandos Renomeados wmic.exe e Interface WiFi [Windows Sysmon]

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

Detecção de Campanha de Phishing Dual-RMM Usando SimpleHelp e ScreenConnect [Criação de Processo do Windows]

Regras de IA SOC Prime
05 de maio de 2026

Visualizar

Execução de Simulação

Pré-requisito: O Check de Pré-vôo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:

    O atacante recebe um anexo de phishing (T1566.001) que solta uma carga maliciosa nomeada statement5648.exe no diretório %TEMP% . Para evitar detecção, o arquivo está assinado com um certificado válido (código ofuscado – T1027) e é executado como um serviço Windows (T1543.003) para persistência. Porque o nome do executável corresponde a um dos sufixos da regra, o Sysmon registra um EventID 1 com Imagem terminando em statement5648.exe, o que deve acionar a regra de detecção. O atacante também desativa o antivírus (T1562.009) e tenta bypassar UAC (T1548.002) para ganhar privilégios elevados.

  • Script de Teste de Regressão:

    #------------------------------------------------------------
# Simulação de Campanha de Phishing Dual-RMM – aciona regra Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Soltar um executável fictício (cópia do notepad.exe) e renomear
Write-Host "[*] Soltando carga disfarçada para $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Criar um serviço Windows que roda a carga (persistência)
Write-Host "[*] Instalando serviço $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Iniciar o serviço – isso gera evento Sysmon ProcessCreate
Write-Host "[*] Iniciando serviço $serviceName"
sc.exe start $serviceName > $null

# 4. OPCIONAL: Simular bypass de UAC / impersonação de token (placeholder no-op)
#    Em uma execução de red-team real, isso envolveria Invoke-BypassUAC ou similar.
Write-Host "[*] Simulação completa – cheque o SIEM para detecção."
#------------------------------------------------------------

  • Comandos de Limpeza:

    #------------------------------------------------------------
# Limpeza para simulação Dual-RMM
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Parar e deletar o serviço
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Remover o executável falso
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Limpeza completa."
#------------------------------------------------------------

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente