SOC Prime Bias: Середній

05 Jan 2026 14:56 UTC

Несанкціонований ScreenConnect: Поширені соціоінженерні тактики, які ми спостерігали у 2025 році

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Несанкціонований ScreenConnect: Поширені соціоінженерні тактики, які ми спостерігали у 2025 році
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Зловмисники постачають шкідливі клієнти ScreenConnect (засоби віддаленого моніторингу та управління) через приманки соціальної інженерії, такі як підроблені звіти про соціальну безпеку, запрошення та рахунки‑фактури. Приманки розповсюджуються фішинговими електронними листами та шкідливими веб‑сторінками, що змушують жертв завантажувати перейменовані виконувані файли ScreenConnect. Після встановлення, фальшивий RMM надає нападнику постійний віддалений доступ до скомпрометованого хосту.

Розслідування

Huntress спостеріг/a за десятками інцидентів між січнем і вереснем 2025 року, де перейменовані бінарні файли ScreenConnect запускалися на кінцевих точках у різних галузях. Центр кібербезпеки зібрав пов’язані доменні імена, IP-адреси та хеші файлів, зауважуючи повторне використання динамічних DNS-сервісів та особливі шаблони найменування приманок. Детальний аналіз журналів показав, що шкідливий клієнт зв’язується з доменами під контролем зловмисника для командно-контрольної діяльності.

Запобігання

Організації повинні посилити навчання з питань безпеки, щоб виявляти підроблені звіти, рахунки та файли-запрошення. Рекомендується безперервний моніторинг засобів віддаленого доступу, обмеження виконання непідписаних RMM-файлів і аудит мережевих з’єднань з відомими шкідливими доменами. Тримайте RMM програми в актуальному стані та додайте у білий список лише дозволені екземпляри.

Відповідь

Після виявлення перейменованого виконуваного файлу ScreenConnect ізолюйте кінцеву точку, зберіть бінарний файл і пов’язаний мережевий трафік, та заблокуйте C2 домен на міжмережевому екрані. Проведіть судову експертизу для виявлення механізмів збереження та латерального руху, потім виправте скомпрометовані облікові записи та скиньте облікові дані.

Потік Атаки

Виконання симуляції

Передумова: Перевірка попереднього готовності до телеметрії та базового рівня повинна бути успішною.

Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати ідентифіковані TTP і бути спрямованими на генерацію точної телеметрії, очікуваної логікою виявлення.

  • Сценарій атаки та команди:
    Зловмисник створює фішинговий електронний лист з вкладенням названим Social_Security_Statement_redacted.exe який фактично містить легітимний інсталятор ScreenConnect (або будь-яке навантаження). Жертва, вважаючи, що це документ особистих фінансів, двічі клацає по файлу. ОС запускає виконуваний файл, створюючи подію створення процесу, де поле Image закінчується шкідливим ім’ям файлу. Ця точна схема відповідає правилу Sigma і повинна викликати тривогу.

  • Скрипт регресійного тестування:

    # --------------------------------------------------------------
    # Симуляційний скрипт – запускає правило "Шкідливий ScreenConnect"
    # --------------------------------------------------------------
    
    # 1. Підготуйте безпечне навантаження (наприклад, calc.exe) і перейменуйте його
    $src = "$env:SystemRootSystem32calc.exe"
    $dst = "$env:TempSocial_Security_Statement_redacted.exe"
    
    Copy-Item -Path $src -Destination $dst -Force
    
    # 2. Опціонально встановіть атрибут приховання для імітації уникнення (T1564.004)
    attrib +h $dst
    
    # 3. Виконайте перейменоване навантаження (імітуйте натискання користувача)
    Start-Process -FilePath $dst
    
    # 4. Почекайте трохи, щоб забезпечити логування
    Start-Sleep -Seconds 5
    
    # 5. Виведіть підтвердження
    Write-Host "Виконано $dst – має генерувати детекційну телеметрію."
  • Команди очищення:

    # Видаліть файл, що виглядає як шкідливий, і очистіть атрибут
    $file = "$env:TempSocial_Security_Statement_redacted.exe"
    if (Test-Path $file) {
        attrib -h $file
        Remove-Item -Path $file -Force
        Write-Host "Очищення завершено: $file видалено."
    } else {
        Write-Host "Файл не знайдено; нема чого очищувати."
    }

Кінець звіту