VENOMOUS#HELPER: Двоїстий фішинговий напад RMM використовує JWrapper-запаковані SimpleHelp та ScreenConnect для непомітного віддаленого доступу

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

VENOMOUS#HELPER: Двоїстий фішинговий напад RMM використовує JWrapper-запаковані SimpleHelp та ScreenConnect для непомітного віддаленого доступу

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Фішингова кампанія використовує скомпрометований мексиканський вебсайт для розповсюдження упакованого з JWrapper виконуваного файлу, який встановлює легітимні інструменти для віддаленого керування SimpleHelp та ScreenConnect. Хоча обидва двійкових файли підписані і зазвичай викликають довіру, зловмисники зловживають ними, щоб отримати стійкий, прихований віддалений доступ через сервіси Windows і модифікації реєстру в безпечному режимі. З квітня 2025 року активність вплинула на понад 80 організацій у США, Західній Європі та Латинській Америці. Хоча атрибуція залишається неясною, кампанія, схоже, має фінансову мотивацію.

Розслідування

Securonix провело динамічний аналіз доставленого навантаження і виявило налаштування двоканального віддаленого доступу, побудоване навколо SimpleHelp 5.0.1 і ConnectWise ScreenConnect. Шкідливе ПЗ встановлюється як служба Windows, створює запис у реєстрі SafeBoot для виживання після перезавантаження в безпечний режим і використовує повторювані цикли опитування для ідентифікації встановлених продуктів безпеки та визначення наявності користувача на комп’ютері. Дослідники також виявили, що перейменований wmic.exe.bak бінарний файл використовувався як частина ланцюга виконання для обходу детекцій, заснованих на назві.

Пом’якшення

Команди безпеки повинні контролювати створення Служба віддаленого доступу сервісу Windows, пов’язану з SafeBoot записом реєстру, і появу wmic.exe.bak всередині System32wbem каталог. Захисні елементи мережі повинні блокувати вихідний UDP-трафік до 84.200.205.233:5555 та TCP-трафік до sslzeromail.run.place:8041. Захисники також повинні видалити шкідливий сервіс і пов’язані файли, одночасно полюючи на перейменовані утиліти та інші артефакти, пов’язані з вторгненням.

Реагування

Якщо ця активність виявлена, негайно ізолюйте уражену систему, зупиніть і видаліть шкідливий сервіс, видаліть запис реєстру SafeBoot і видаліть директорію установки JWrapper з хоста. Дослідники повинні провести судову експертизу, щоб визначити, чи відбувся поперечний рух, і оновити логіку виявлення для захоплення конкретних ланцюгів процесів і зразків команд, які спостерігалися у кампанії. Відповідні зацікавлені сторони повинні бути поінформовані, та слід розглянути можливості ширшого пошуку загроз для виявлення додаткових жертв.

графік TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% Вузли action_impersonation[“Дія – T1656 Імітація Підробка електронної пошти SSA США для заманювання жертв”] class action_impersonation action action_phishing[“Дія – T1566.001 Фішинг Спрямовані шахрайські вкладення зі зв’язком на скомпрометовані мексиканські домени”] class action_phishing action action_infra[“Дія – T1584.001 Компрометація інфраструктури Компрометація законних сайтів .com.mx для розміщення цільової сторінки та навантаження”] class action_infra action action_execution[“Дія – Виконання Жертва запускає JWrapper‑упакований statement5648.exe, який витягує налаштування, розгортає приватний JRE і запускає Java-навантаження”] class action_execution action action_uac[“Дія – T1548.002 Обхід UAC Запит на підвищення права відображає довіреного видавця SimpleHelp, дозволяючи встановлення”] class action_uac action action_service[“Дія – T1543.003 Створення або модифікація системного процесу Реєструє службу Windows “Служба віддаленого доступу””] class action_service action action_safemode[“Дія – T1562.009 Безпечний режим запуску Додає ключ реєстру під SafeBoot Network для стійкості сервісу”] class action_safemode action malware_simplehelp[“Шкідливе ПЗ – SimpleHelp 5.0.1 (зламано) Інструмент для віддаленого адміністрування, підписаний SimpleHelp”] class malware_simplehelp malware malware_screenconnect[“Шкідливе ПЗ – ConnectWise ScreenConnect (зламано) Інструмент для віддаленого адміністрування, підписаний ConnectWise”] class malware_screenconnect malware c2_simplehelp[“C2 – UDP 84.200.205.233:5555 Використовується SimpleHelp для маячення”] class c2_simplehelp c2 c2_screenconnect[“C2 – TCP sslzeromail.run.place:8041 Використовується реле ScreenConnect”] class c2_screenconnect c2 tool_sessionwin[“Інструмент – session_win.exe Краде токен winlogon.exe для запуску процесів у сеансі користувача”] class tool_sessionwin tool tool_elevwin[“Інструмент – elev_win.exe Створює процеси з CreateProcessAsUserW, використовуючи вкрадений токен”] class tool_elevwin tool process_netsh[“Процес – netsh wlan show interfaces Запускається кожні ~15 с для виявлення конфігурації мережі”] class process_netsh process process_wmic[“Процес – wmic.exe.bak запит SecurityCenter2 Запускається кожні ~67 с для виявлення продуктів AV/Firewall”] class process_wmic process action_masquerade[“Дія – T1036.003 Маскування Перейменовує wmic.exe на wmic.exe.bak, щоб приховати утиліту”] class action_masquerade action action_dynamic[“Дія – T1568 Динамічне дозвіл Збирає інформацію про інтерфейс для адаптації кінцевих точок C2”] class action_dynamic action %% Зв’язки потоку action_impersonation –>|призводить до| action_phishing action_phishing –>|використовує| action_infra action_infra –>|розміщує| action_execution action_execution –>|тригерить| action_uac action_uac –>|дозволяє| action_service action_service –>|додає| action_safemode action_safemode –>|підтримує| malware_simplehelp malware_simplehelp –>|спілкується з| c2_simplehelp malware_screenconnect –>|спілкується з| c2_screenconnect malware_simplehelp –>|встановлює| tool_sessionwin malware_screenconnect –>|встановлює| tool_elevwin tool_sessionwin –>|виконує| action_masquerade tool_elevwin –>|виконує| process_netsh process_netsh –>|подає| action_dynamic process_wmic –>|подає| action_dynamic action_dynamic –>|інформує| c2_screenconnect action_dynamic –>|інформує| c2_simplehelp tool_sessionwin –>|виконує| action_masquerade process_wmic –>|виконує| action_masquerade %% Призначення класів class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process

Атака Потік

Опис атаки та команди:

Атакуючий отримує фішингову вкладення (T1566.001), що скидає шкідливий вантаж з іменем statement5648.exe в %TEMP% каталог. Щоб уникнути виявлення, файл підписаний діючим сертифікатом (заплутаний код – T1027) та виконується як сервіс Windows (T1543.003), щоб зберегтися. Оскільки ім’я виконуваного файлу відповідає одному з суфіксів правила, Sysmon записує EventID 1 з Image кінцем у statement5648.exe, що має викликати правило для виявлення. Атакуючий також відключає антивірус (T1562.009) і намагається обійти UAC (T1548.002) для отримання підвищених прав.

Сценарій тесту на регресію:

#------------------------------------------------------------
# Симуляція двофазної фішингової кампанії – тригерить правило Sigma
#------------------------------------------------------------
$payloadPath = "$env:TEMPstatement5648.exe"
$serviceName = "DualRMMHelper"

# 1. Скидання фіктивного виконуваного файлу (копії notepad.exe) і перейменування
Write-Host "[*] Скидання маскированого навантаження до $payloadPath"
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force

# 2. Створення служби Windows, яка запускає навантаження (стійкість)
Write-Host "[*] Установка служби $serviceName"
sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null

# 3. Запуск служби – це генерує подію створення процесу Sysmon
Write-Host "[*] Запуск служби $serviceName"
sc.exe start $serviceName > $null

# 4. НЕОБОВ'ЯЗКОВО: Симуляція обходу UAC / імітація токена (заповнювач для відсутності операції)
#    У реальному червоному етапі імітації це передбачало б використання Invoke-BypassUAC або аналогічного методу.
Write-Host "[*] Симуляція завершена – перевірте SIEM для виявлення."
#------------------------------------------------------------

Команди для очищення:

#------------------------------------------------------------
# Очищення для симуляції двофазної фішингової кампанії
#------------------------------------------------------------
$serviceName = "DualRMMHelper"
$payloadPath = "$env:TEMPstatement5648.exe"

# Зупинка та видалення служби
sc.exe stop $serviceName > $null
sc.exe delete $serviceName > $null

# Видалення неіснуючого виконуваного файлу
Remove-Item -Path $payloadPath -Force

Write-Host "[*] Очищення завершено."
#------------------------------------------------------------

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно