VENOMOUS#HELPER: Двоїстий фішинговий напад RMM використовує JWrapper-запаковані SimpleHelp та ScreenConnect для непомітного віддаленого доступу
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Фішингова кампанія використовує скомпрометований мексиканський вебсайт для розповсюдження упакованого з JWrapper виконуваного файлу, який встановлює легітимні інструменти для віддаленого керування SimpleHelp та ScreenConnect. Хоча обидва двійкових файли підписані і зазвичай викликають довіру, зловмисники зловживають ними, щоб отримати стійкий, прихований віддалений доступ через сервіси Windows і модифікації реєстру в безпечному режимі. З квітня 2025 року активність вплинула на понад 80 організацій у США, Західній Європі та Латинській Америці. Хоча атрибуція залишається неясною, кампанія, схоже, має фінансову мотивацію.
Розслідування
Securonix провело динамічний аналіз доставленого навантаження і виявило налаштування двоканального віддаленого доступу, побудоване навколо SimpleHelp 5.0.1 і ConnectWise ScreenConnect. Шкідливе ПЗ встановлюється як служба Windows, створює запис у реєстрі SafeBoot для виживання після перезавантаження в безпечний режим і використовує повторювані цикли опитування для ідентифікації встановлених продуктів безпеки та визначення наявності користувача на комп’ютері. Дослідники також виявили, що перейменований wmic.exe.bak бінарний файл використовувався як частина ланцюга виконання для обходу детекцій, заснованих на назві.
Пом’якшення
Команди безпеки повинні контролювати створення Служба віддаленого доступу сервісу Windows, пов’язану з SafeBoot записом реєстру, і появу wmic.exe.bak всередині System32wbem каталог. Захисні елементи мережі повинні блокувати вихідний UDP-трафік до 84.200.205.233:5555 та TCP-трафік до sslzeromail.run.place:8041. Захисники також повинні видалити шкідливий сервіс і пов’язані файли, одночасно полюючи на перейменовані утиліти та інші артефакти, пов’язані з вторгненням.
Реагування
Якщо ця активність виявлена, негайно ізолюйте уражену систему, зупиніть і видаліть шкідливий сервіс, видаліть запис реєстру SafeBoot і видаліть директорію установки JWrapper з хоста. Дослідники повинні провести судову експертизу, щоб визначити, чи відбувся поперечний рух, і оновити логіку виявлення для захоплення конкретних ланцюгів процесів і зразків команд, які спостерігалися у кампанії. Відповідні зацікавлені сторони повинні бути поінформовані, та слід розглянути можливості ширшого пошуку загроз для виявлення додаткових жертв.
Потік Атака
Виявлення
Агент SimpleHelp виконується з директорії віддаленого доступу JWrapper (через створення процесу)
Переглянути
Можливе перерахування антивірусного або брандмауерного програмного забезпечення (через створення процесу)
Переглянути
Альтернативне програмне забезпечення для віддаленого доступу / управління (через створення процесу)
Переглянути
Можлива спроба використання Simple Help RMM (через подію файлу)
Переглянути
Індекси компроментації (HashSha512) для виявлення: VENOMOUS#HELPER: Двофазна фішингова кампанія, що використовує JWrapper-упаковані SimpleHelp та ScreenConnect для прихованого віддаленого доступу
Переглянути
Індекси компроментації (HashSha256) для виявлення: VENOMOUS#HELPER: Двофазна фішингова кампанія, що використовує JWrapper-упаковані SimpleHelp та ScreenConnect для прихованого віддаленого доступу
Переглянути
Індекси компроментації (HashMd5) для виявлення: VENOMOUS#HELPER: Двофазна фішингова кампанія, що використовує JWrapper-упаковані SimpleHelp та ScreenConnect для прихованого віддаленого доступу
Переглянути
Індекси компроментації (SourceIP) для виявлення: VENOMOUS#HELPER: Двофазна фішингова кампанія, що використовує JWrapper-упаковані SimpleHelp та ScreenConnect для прихованого віддаленого доступу
Переглянути
Індекси компроментації (DestinationIP) для виявлення: VENOMOUS#HELPER: Двофазна фішингова кампанія, що використовує JWrapper-упаковані SimpleHelp та ScreenConnect для прихованого віддаленого доступу
Переглянути
Моніторинг потенційної діяльності RAT через перейменовану wmic.exe і команди WiFi інтерфейсу [Windows Sysmon]
Переглянути
Виявлення двофазної фішингової кампанії з використанням SimpleHelp та ScreenConnect [Створення процесу Windows]
Переглянути
Виконання симуляції
Попередня умова: Телеметрія та Перевірка основної лінії повинні пройти передполітний чек.
Пояснення: У цьому розділі детально описується точне виконання техніки супротивника (TTP), призначеної для тригера правила виявлення. Команди і наратив МУСЯТЬ безпосередньо відображати ідентифіковані TTP і намагатися генерувати точну телеметрію, очікувану логікою виявлення.
-
Опис атаки та команди:
Атакуючий отримує фішингову вкладення (T1566.001), що скидає шкідливий вантаж з іменем
statement5648.exeв%TEMP%каталог. Щоб уникнути виявлення, файл підписаний діючим сертифікатом (заплутаний код – T1027) та виконується як сервіс Windows (T1543.003), щоб зберегтися. Оскільки ім’я виконуваного файлу відповідає одному з суфіксів правила, Sysmon записує EventID 1 зImageкінцем уstatement5648.exe, що має викликати правило для виявлення. Атакуючий також відключає антивірус (T1562.009) і намагається обійти UAC (T1548.002) для отримання підвищених прав. -
Сценарій тесту на регресію:
#------------------------------------------------------------ # Симуляція двофазної фішингової кампанії – тригерить правило Sigma #------------------------------------------------------------ $payloadPath = "$env:TEMPstatement5648.exe" $serviceName = "DualRMMHelper" # 1. Скидання фіктивного виконуваного файлу (копії notepad.exe) і перейменування Write-Host "[*] Скидання маскированого навантаження до $payloadPath" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force # 2. Створення служби Windows, яка запускає навантаження (стійкість) Write-Host "[*] Установка служби $serviceName" sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null # 3. Запуск служби – це генерує подію створення процесу Sysmon Write-Host "[*] Запуск служби $serviceName" sc.exe start $serviceName > $null # 4. НЕОБОВ'ЯЗКОВО: Симуляція обходу UAC / імітація токена (заповнювач для відсутності операції) # У реальному червоному етапі імітації це передбачало б використання Invoke-BypassUAC або аналогічного методу. Write-Host "[*] Симуляція завершена – перевірте SIEM для виявлення." #------------------------------------------------------------ -
Команди для очищення:
#------------------------------------------------------------ # Очищення для симуляції двофазної фішингової кампанії #------------------------------------------------------------ $serviceName = "DualRMMHelper" $payloadPath = "$env:TEMPstatement5648.exe" # Зупинка та видалення служби sc.exe stop $serviceName > $null sc.exe delete $serviceName > $null # Видалення неіснуючого виконуваного файлу Remove-Item -Path $payloadPath -Force Write-Host "[*] Очищення завершено." #------------------------------------------------------------