VENOMOUS#HELPER: Двоїстий фішинговий напад RMM використовує JWrapper-запаковані SimpleHelp та ScreenConnect для непомітного віддаленого доступу

SOC Prime Team

Стежити

VENOMOUS#HELPER: Двоїстий фішинговий напад RMM використовує JWrapper-запаковані SimpleHelp та ScreenConnect для непомітного віддаленого доступу

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Фішингова кампанія використовує скомпрометований мексиканський вебсайт для розповсюдження упакованого з JWrapper виконуваного файлу, який встановлює легітимні інструменти для віддаленого керування SimpleHelp та ScreenConnect. Хоча обидва двійкових файли підписані і зазвичай викликають довіру, зловмисники зловживають ними, щоб отримати стійкий, прихований віддалений доступ через сервіси Windows і модифікації реєстру в безпечному режимі. З квітня 2025 року активність вплинула на понад 80 організацій у США, Західній Європі та Латинській Америці. Хоча атрибуція залишається неясною, кампанія, схоже, має фінансову мотивацію.

Розслідування

Securonix провело динамічний аналіз доставленого навантаження і виявило налаштування двоканального віддаленого доступу, побудоване навколо SimpleHelp 5.0.1 і ConnectWise ScreenConnect. Шкідливе ПЗ встановлюється як служба Windows, створює запис у реєстрі SafeBoot для виживання після перезавантаження в безпечний режим і використовує повторювані цикли опитування для ідентифікації встановлених продуктів безпеки та визначення наявності користувача на комп’ютері. Дослідники також виявили, що перейменований wmic.exe.bak бінарний файл використовувався як частина ланцюга виконання для обходу детекцій, заснованих на назві.

Пом’якшення

Команди безпеки повинні контролювати створення Служба віддаленого доступу сервісу Windows, пов’язану з SafeBoot записом реєстру, і появу wmic.exe.bak всередині System32wbem каталог. Захисні елементи мережі повинні блокувати вихідний UDP-трафік до 84.200.205.233:5555 та TCP-трафік до sslzeromail.run.place:8041. Захисники також повинні видалити шкідливий сервіс і пов’язані файли, одночасно полюючи на перейменовані утиліти та інші артефакти, пов’язані з вторгненням.

Реагування

Якщо ця активність виявлена, негайно ізолюйте уражену систему, зупиніть і видаліть шкідливий сервіс, видаліть запис реєстру SafeBoot і видаліть директорію установки JWrapper з хоста. Дослідники повинні провести судову експертизу, щоб визначити, чи відбувся поперечний рух, і оновити логіку виявлення для захоплення конкретних ланцюгів процесів і зразків команд, які спостерігалися у кампанії. Відповідні зацікавлені сторони повинні бути поінформовані, та слід розглянути можливості ширшого пошуку загроз для виявлення додаткових жертв.

graph TB %% Визначення Класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Вузли action_impersonation[“Дія – T1656 Імітація Підробка електронної пошти SSA США для заманювання жертв”] class action_impersonation action action_phishing[“Дія – T1566.001 Фішинг Вкладення spearphishing із посиланням на скомпрометовані мексиканські домени”] class action_phishing action action_infra[“Дія – T1584.001 Компрометація Інфраструктури Компрометація легітимних сайтів .com.mx для розміщення сторінки приземлення та корисного навантаження”] class action_infra action action_execution[“Дія – Виконання Жертва запускає statement5648.exe, запакований JWrapper, який витягує конфігурацію, розміщує приватний JRE та запускає Java-корисне навантаження”] class action_execution action action_uac[“Дія – T1548.002 Обхід UAC Запит UAC показує довіреного видавця SimpleHelp, дозволяючи встановлення”] class action_uac action action_service[“Дія – T1543.003 Створення або Модифікація Системного Процесу Реєструє службу Windows \”Remote Access Service\””] class action_service action action_safemode[“Дія – T1562.009 Завантаження у Безпечному Режимі Додає ключ реєстру в SafeBoot Network для забезпечення постійності служби”] class action_safemode action malware_simplehelp[“Шкідливе ПЗ – SimpleHelp 5.0.1 (зламаний) Інструмент віддаленого адміністрування, підписаний SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“Шкідливе ПЗ – ConnectWise ScreenConnect (зламаний) Інструмент віддаленого адміністрування, підписаний ConnectWise”] class malware_screenconnect malware c2_simplehelp[“C2 – UDP 84.200.205.233:5555 Використовується SimpleHelp для beaconing”] class c2_simplehelp c2 c2_screenconnect[“C2 – TCP sslzeromail.run.place:8041 Використовується relay ScreenConnect”] class c2_screenconnect c2 tool_sessionwin[“Інструмент – session_win.exe Викрадає токен winlogon.exe для створення процесів у сесії користувача”] class tool_sessionwin tool tool_elevwin[“Інструмент – elev_win.exe Створює процеси за допомогою CreateProcessAsUserW, використовуючи викрадений токен”] class tool_elevwin tool process_netsh[“Процес – netsh wlan show interfaces Виконується приблизно кожні 15 с для виявлення конфігурації мережі”] class process_netsh process process_wmic[“Процес – wmic.exe.bak query SecurityCenter2 Виконується приблизно кожні 67 с для виявлення продуктів AV/Firewall”] class process_wmic process action_masquerade[“Дія – T1036.003 Маскування Перейменовує wmic.exe на wmic.exe.bak для приховування утиліти”] class action_masquerade action action_dynamic[“Дія – T1568 Динамічне Визначення Збирає інформацію про інтерфейси для адаптації C2 endpoint”] class action_dynamic action %% Зв’язки Потоку action_impersonation –>|призводить_до| action_phishing action_phishing –>|використовує| action_infra action_infra –>|розміщує| action_execution action_execution –>|запускає| action_uac action_uac –>|дозволяє| action_service action_service –>|додає| action_safemode action_safemode –>|підтримує| malware_simplehelp malware_simplehelp –>|зв’язується з| c2_simplehelp malware_screenconnect –>|зв’язується з| c2_screenconnect malware_simplehelp –>|встановлює| tool_sessionwin malware_screenconnect –>|встановлює| tool_elevwin tool_sessionwin –>|виконує| action_masquerade tool_elevwin –>|виконує| process_netsh process_netsh –>|передає| action_dynamic process_wmic –>|передає| action_dynamic action_dynamic –>|інформує| c2_screenconnect action_dynamic –>|інформує| c2_simplehelp tool_sessionwin –>|виконує| action_masquerade process_wmic –>|виконує| action_masquerade %% Призначення Класів class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Потік Атака

Опис атаки та команди:

Атакуючий отримує фішингову вкладення (T1566.001), що скидає шкідливий вантаж з іменем statement5648.exe в %TEMP% каталог. Щоб уникнути виявлення, файл підписаний діючим сертифікатом (заплутаний код – T1027) та виконується як сервіс Windows (T1543.003), щоб зберегтися. Оскільки ім’я виконуваного файлу відповідає одному з суфіксів правила, Sysmon записує EventID 1 з Image кінцем у statement5648.exe, що має викликати правило для виявлення. Атакуючий також відключає антивірус (T1562.009) і намагається обійти UAC (T1548.002) для отримання підвищених прав.

Сценарій тесту на регресію:

#------------------------------------------------------------
# Симуляція двофазної фішингової кампанії – тригерить правило Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Скидання фіктивного виконуваного файлу (копії notepad.exe) і перейменування
Write-Host "[*] Скидання маскированого навантаження до $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Створення служби Windows, яка запускає навантаження (стійкість)
Write-Host "[*] Установка служби $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Запуск служби – це генерує подію створення процесу Sysmon
Write-Host "[*] Запуск служби $serviceName"
sc.exe start $serviceName > $null

# 4. НЕОБОВ'ЯЗКОВО: Симуляція обходу UAC / імітація токена (заповнювач для відсутності операції)
#    У реальному червоному етапі імітації це передбачало б використання Invoke-BypassUAC або аналогічного методу.
Write-Host "[*] Симуляція завершена – перевірте SIEM для виявлення."
#------------------------------------------------------------

Команди для очищення:

#------------------------------------------------------------
# Очищення для симуляції двофазної фішингової кампанії
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Зупинка та видалення служби
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Видалення неіснуючого виконуваного файлу
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Очищення завершено."
#------------------------------------------------------------

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно