Атака с использованием поддельного JPEG и троянизированного ScreenConnect угрожает корпоративным сетям

Вектор проникновения, скорее всего, связан с фишинговыми письмами, поддельными обновлениями или вредоносными вложениями. Жертве приходит файл с именем sysupdate.jpeg. Несмотря на расширение, он не является изображением - это скрипт на языке PowerShell. При запуске он создаёт рабочую директорию C:\Systems, скачивает с сервера legitserver.theworkpc.com дополнительные компоненты и запускает обфусцированные команды. Вредоносная программа намеренно использует подмену расширения, чтобы усыпить бдительность пользователя и обойти базовые механизмы проверки.

Ключевая особенность кампании - применение продвинутых техник обороны. Сразу после запуска скрипт выполняет обход интерфейса AMSI (встроенный механизм проверки вредоносных скриптов в Windows). Вместо прямого вызова подозрительных функций код динамически собирает команды из фрагментов строк, что затрудняет сигнатурный анализ. Затем загрузчик использует легитимный компилятор Microsoft .NET csc.exe для сборки исполняемого файла uds.exe непосредственно на атакуемой машине. Такой подход гарантирует, что каждый скомпилированный бинарник имеет уникальный хеш, что делает традиционное антивирусное сканирование неэффективным. Этот метод известен как Compile After Delivery.

Далее следует этап повышения привилегий без вывода диалогового окна контроля учётных записей (UAC). Злоумышленники злоупотребляют автоматически повышающей права утилитой ComputerDefaults.exe. Они создают вредоносный раздел реестра ms-settings, который перенаправляет вызов на скомпилированный uds.exe. Поскольку ComputerDefaults.exe запускается из каталога C:\Windows\System32, относительный путь ../../Systems/uds.exe корректно указывает на целевую папку. После запуска Windows выполняет вредоносный код с правами администратора без ведома пользователя. Для сокрытия следов через две секунды после повышения привилегий злоумышленники удаляют изменённые ключи реестра, что значительно затрудняет криминалистический анализ.

Как сообщили в компании CYFIRMA, затем вредоносная программа устанавливает постоянное закрепление в системе. Она создаёт службу Windows с именем OneDriveServers, которая маскируется под легитимный компонент облачного хранилища. После этого разворачивается троянизированная версия ConnectWise ScreenConnect версии 25.9.5.9483. Злоумышленники заменили оригинальную библиотеку ScreenConnect.Core.dll на модифицированную, неподписанную версию, отключив проверку подлинности сборок .NET через параметр generatePublisherEvidence=false. Это позволяет изменённому модулю загружаться без ошибок. Встроенные настройки принудительно скрывают удалённую сессию, отключают запрос согласия пользователя и шифруют учётные данные оператора через интерфейс DPAPI (инструмент защиты данных Windows).

После успешного развёртывания злоумышленники получают практически полный контроль над скомпрометированным компьютером. Статический анализ выявил 46 флагов возможностей, включая захват экрана в реальном времени, запись видео, перехват микрофона и динамиков, мониторинг буфера обмена, перехват заданий печати, а также скрытое выполнение команд с системными привилегиями. Для связи с управляющим сервером используется шифрованный канал на основе алгоритмов PBKDF2/HMAC-SHA256. Ключи для каждого сеанса генерируются уникально, что делает перехват трафика бесполезным для анализа. Вредоносная программа также способна создавать скрытые учётные записи, перехватывать логины и пароли прямо на экране входа в Windows, а также выполнять рекогносцировку установленных антивирусов через WMI-запросы.

Последствия такой атаки могут быть катастрофическими для предприятия. Получив доступ к системе, оператор способен перемещаться по сети, похищать базы данных, развёртывать программы-вымогатели и шпионить за деятельностью сотрудников. Использование легитимного коммерческого ПО для удалённого администрирования делает кампанию особенно опасной - традиционные средства защиты часто доверяют таким приложениям.

Эта кампания демонстрирует высокий уровень зрелости угрозы. Злоумышленники комбинируют методы обхода AMSI, использование легитимных двоичных файлов Windows (LOLBin), динамическую компиляцию и файловое повышение привилегий. Такой подход характерен для опытных групп, действующих с финансовыми мотивами или выступающих в роли поставщиков начального доступа. Организациям следует усилить мониторинг PowerShell-команд, обращать внимание на подозрительные файлы с двойными расширениями и ограничивать использование незадокументированных возможностей RMM-решений. Контроль за изменениями в реестре, особенно в разделах protocol handlers, и настройка поведенческого анализа помогут своевременно выявить подобные атаки.

IPv4

• 45.138.16.64

Domains

• legitserver.theworkpc.com

SHA256

• 4d8ac85c5b98c69ba44146df61183e9bf613edd796aa516c3ae73611b7d77c06
• 7adffc1c0b3fdcba46e8d0a81203c955976d4ef39893c98d0b2dbfbb8d6a8ec3
• cea1d85967d2c456fccecae3a70ff2adfe4c113aacf9d18c35906c2ed24ca9b4
• e4c9f3bb4a65c640795bfc1a56c0b56485b849ccd97027eed7ad9aa78a732a4f
• ecd5ed16975d556d1d17bc980f248f8a5262bed11df9d9cf999efd9c273c11df
• ee3d776cdaf82335e4293e19ee313cc35eee49cde9963b96766a8f9c89d44a79