Несанкціонований ScreenConnect: Поширені соціоінженерні тактики, які ми спостерігали у 2025 році
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Зловмисники постачають шкідливі клієнти ScreenConnect (засоби віддаленого моніторингу та управління) через приманки соціальної інженерії, такі як підроблені звіти про соціальну безпеку, запрошення та рахунки‑фактури. Приманки розповсюджуються фішинговими електронними листами та шкідливими веб‑сторінками, що змушують жертв завантажувати перейменовані виконувані файли ScreenConnect. Після встановлення, фальшивий RMM надає нападнику постійний віддалений доступ до скомпрометованого хосту.
Розслідування
Huntress спостеріг/a за десятками інцидентів між січнем і вереснем 2025 року, де перейменовані бінарні файли ScreenConnect запускалися на кінцевих точках у різних галузях. Центр кібербезпеки зібрав пов’язані доменні імена, IP-адреси та хеші файлів, зауважуючи повторне використання динамічних DNS-сервісів та особливі шаблони найменування приманок. Детальний аналіз журналів показав, що шкідливий клієнт зв’язується з доменами під контролем зловмисника для командно-контрольної діяльності.
Запобігання
Організації повинні посилити навчання з питань безпеки, щоб виявляти підроблені звіти, рахунки та файли-запрошення. Рекомендується безперервний моніторинг засобів віддаленого доступу, обмеження виконання непідписаних RMM-файлів і аудит мережевих з’єднань з відомими шкідливими доменами. Тримайте RMM програми в актуальному стані та додайте у білий список лише дозволені екземпляри.
Відповідь
Після виявлення перейменованого виконуваного файлу ScreenConnect ізолюйте кінцеву точку, зберіть бінарний файл і пов’язаний мережевий трафік, та заблокуйте C2 домен на міжмережевому екрані. Проведіть судову експертизу для виявлення механізмів збереження та латерального руху, потім виправте скомпрометовані облікові записи та скиньте облікові дані.
Потік Атаки
Виявлення
Альтернативне програмне забезпечення для віддаленого доступу/управління (через систему)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу/управління (через аудит)
Перегляд
Підозріле командування та контроль за незвичайним запитом DNS до верхнього рівня домену (TLD) (через dns)
Перегляд
Альтернативне програмне забезпечення для віддаленого доступу/управління (через process_creation)
Перегляд
IOCs (HashSha256) для виявлення: Шкідливий ScreenConnect: Загальні тактики соціальної інженерії, які ми спостерігали у 2025 році
Перегляд
Шкідливий ScreenConnect інсталяція через приманки соціальної інженерії [Створення процесу Windows]
Перегляд
Виконання симуляції
Передумова: Перевірка попереднього готовності до телеметрії та базового рівня повинна бути успішною.
Обґрунтування: Цей розділ деталізує точне виконання техніки супротивника (TTP), розробленої для спрацьовування правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати ідентифіковані TTP і бути спрямованими на генерацію точної телеметрії, очікуваної логікою виявлення.
-
Сценарій атаки та команди:
Зловмисник створює фішинговий електронний лист з вкладенням названим Social_Security_Statement_redacted.exe який фактично містить легітимний інсталятор ScreenConnect (або будь-яке навантаження). Жертва, вважаючи, що це документ особистих фінансів, двічі клацає по файлу. ОС запускає виконуваний файл, створюючи подію створення процесу, де полеImageзакінчується шкідливим ім’ям файлу. Ця точна схема відповідає правилу Sigma і повинна викликати тривогу. -
Скрипт регресійного тестування:
# -------------------------------------------------------------- # Симуляційний скрипт – запускає правило "Шкідливий ScreenConnect" # -------------------------------------------------------------- # 1. Підготуйте безпечне навантаження (наприклад, calc.exe) і перейменуйте його $src = "$env:SystemRootSystem32calc.exe" $dst = "$env:TempSocial_Security_Statement_redacted.exe" Copy-Item -Path $src -Destination $dst -Force # 2. Опціонально встановіть атрибут приховання для імітації уникнення (T1564.004) attrib +h $dst # 3. Виконайте перейменоване навантаження (імітуйте натискання користувача) Start-Process -FilePath $dst # 4. Почекайте трохи, щоб забезпечити логування Start-Sleep -Seconds 5 # 5. Виведіть підтвердження Write-Host "Виконано $dst – має генерувати детекційну телеметрію." -
Команди очищення:
# Видаліть файл, що виглядає як шкідливий, і очистіть атрибут $file = "$env:TempSocial_Security_Statement_redacted.exe" if (Test-Path $file) { attrib -h $file Remove-Item -Path $file -Force Write-Host "Очищення завершено: $file видалено." } else { Write-Host "Файл не знайдено; нема чого очищувати." }
Кінець звіту