Фишинг под маской доверия: злоумышленники используют подписанные сертификаты для внедрения RMM-инструментов

Кампании были построены вокруг фишинговых писем, имитирующих приглашения на встречи в Microsoft Teams или Zoom, финансовые документы, счета и внутренние уведомления организаций. Вложения или ссылки в письмах вели к исполняемым файлам, замаскированным под легитимное программное обеспечение, такое как "msteams.exe", "adobereader.exe" или "zoomworkspace.clientsetup.exe". Критически важной деталью, позволившей обойти пользовательскую подозрительность и базовые системы защиты, стало то, что эти файлы были подписаны действительным расширенным (EV) сертификатом, выданным на компанию TrustConnect Software PTY LTD. Подобные сертификаты, предназначенные для подтверждения юридической идентичности издателя, традиционно вызывают высокий уровень доверия как у пользователей, так и у некоторых решений безопасности.

Согласно анализу, проведённому Microsoft Defender Experts, после запуска подписанного файла на целевой системе разворачивались инструменты удалённого мониторинга и управления (RMM), такие как ScreenConnect, Tactical RMM и Mesh Agent. Эти легальные, широко используемые в IT-администрировании платформы были применены злоумышленниками для установки устойчивого доступа и последующего перемещения по корпоративной сети. В одном из сценариев пользователь получал письмо с поддельным PDF-вложением. При открытии файла отображалось размытое изображение, стилизованное под защищённый документ, а кнопка «Открыть в Adobe» перенаправляла на фишинговый сайт, точь-в-точь копирующий официальный центр загрузки Adobe. Сайт сообщал о необходимости обновления Acrobat Reader и автоматически скачивал вредоносный установщик, подписанный тем же сертификатом TrustConnect.

После выполнения, вредоносная программа копировала себя в системный каталог "C:\Program Files", регистрировалась как служба Windows и добавляла запись в автозагрузку реестра для обеспечения постоянства. Затем устанавливалось соединение с командным сервером (C2) "trustconnectsoftware[.]com". Следующим этапом были запущены закодированные команды PowerShell для загрузки и тихой установки клиента ScreenConnect через штатную утилиту "msiexec.exe". Примечательно, что аналитики обнаружили использование не подписанного установщика ScreenConnect (MSI-пакета), что может указывать на его неавторизованное получение, а сами исполняемые файлы внутри пакета имели уже отозванные цифровые подписи. Для усиления устойчивости доступа злоумышленники параллельно развернули дополнительный RMM-инструмент - Tactical RMM, который, в свою очередь, установил агент MeshAgent, создав таким образом несколько независимых каналов удалённого управления.

Подобная тактика представляет значительную угрозу для организаций любого размера. Использование доверенных цифровых подписей и легитимных IT-инструментов позволяет атаке долгое время оставаться незамеченной, обходя традиционные сигнатуры антивирусов и не вызывая подозрений у системных администраторов. Последствия успешного проникновения включают в себя полный компромисс корпоративных данных, возможность шпионажа, установку программ-вымогателей или использование ресурсов для последующих атак.

Для противодействия подобным угрозам эксперты рекомендуют внедрять многоуровневую защиту. Ключевой мерой является применение политик контроля приложений, таких как Windows Defender Application Control или AppLocker, которые позволяют разрешать выполнение только доверенного, подписанного определёнными издателями ПО, включая возможность явного блокирования сертификатов. Крайне важно проводить регулярный аудит установленного в сети программного обеспечения на предмет неавторизованных RMM-инструментов. Для одобренных систем удалённого управления необходимо строгое enforcement настроек безопасности, включая обязательную многофакторную аутентификацию. Защита почтовых сервисов с помощью технологий вроде Safe Links и Safe Attachments в Microsoft Defender for Office 365, а также использование браузеров со встроенными механизмами вроде Microsoft Defender SmartScreen для блокировки фишинговых сайтов, существенно снизят риск успешной первоначальной компрометации. Комбинация этих мер, направленных как на повышение осведомлённости пользователей, так и на техническое ужесточение политик безопасности, позволит организациям эффективно противостоять сложным атакам, маскирующимся под легитимную деятельность.

Domains

• app.amazonwindowsprime.com
• app.ovbxbzuaiopp.online
• cold-na-phx-7.gofile.ioabsolutedarkorderhqx.com
• cold-na-phx-8.gofile.ioserver.yakabanskreen.top
• Pacdashed.com
• pub-a6b1edca753b4d618d8b2f09eaa9e2af.r2.dev
• r9.virtualonlineserver.org
• read.pibanerllc.de
• rightrecoveryscreen.top
• server.denako-cin.cc
• server.nathanjhooskreen.top
• smallmartdirectintense.com
• Trustconnectsoftware.com
• turn.zoomworkforce.us

URLs

• https://adb-pro.design/Adobe/download.php
• https://chata2go.com.mx/store/invite.exe
• https://easyguidepdf.com/A/AdobeReader/download.php
• https://eliteautoused-cars.com/bid/MsTeams.exe
• https://httpsecured.im/file/MsTeams.exe
• https://lankystocks.com/Zoom/Windows/download.php
• https://pacificlimited.mw/trash/cee/tra/MsTeams.exe
• https://pixeldrain.com/api/file/CiEwUUGq?download
• https://pub-575e7adf57f741ba8ce32bfe83a1e7f4.r2.dev/Project%20Proposal%20-%20eDocs.exe
• https://sherwoods.ae/dm/Analog/Machine/download.php
• https://sherwoods.ae/wp-admin/Apex_Injury_Attorneys/download.php
• https://store-na-phx-1.gofile.io/download/direct/fc087401-6097-412d-8c7f-e471c7d83d7f/Onchain-installer.exe
• https://sunride.com.do/clean22/clea/cle/MsTeams.exe
• https://waynelimck.com/bid/MsTeams.exe
• https://www.metrosuitesbellavie.com/crewe/cjo/yte/MsTeams.exe
• https://yad.ma/Union/Colony/complete.php
• https://yad.ma/Union/Colony/download.php
• https://yad.ma/wp-admin/El_Paso_Orthopaedic_Group/download.php

SHA256

• 35f03708f590810be88dfb27c53d63cd6bb3fb93c110ca0d01bc23ecdf61f983
• 36fdd4693b6df8f2de7b36dff745a3f41324a6dacb78b4159040c5d15e11acb7
• 4c6251e1db72bdd00b64091013acb8b9cb889c768a4ca9b2ead3cc89362ac2ca
• 5701dabdba685b903a84de6977a9f946accc08acf2111e5d91bc189a83c3faea
• 6641561ed47fdb2540a894eb983bcbc82d7ad8eafb4af1de24711380c9d38f8b
• 86b788ce9379e02e1127779f6c4d91ee4c1755aae18575e2137fb82ce39e100f
• 947bcb782c278da450c2e27ec29cb9119a687fd27485f2d03c3f2e133551102e
• 959509ef2fa29dfeeae688d05d31fff08bde42e2320971f4224537969f553070
• 9827c2d623d2e3af840b04d5102ca5e4bd01af174131fc00731b0764878f00ca
• 98a4d09db3de140d251ea6afd30dcf3a08e8ae8e102fc44dd16c4356cc7ad8a6
• af651ebcacd88d292eb2b6cbbe28b1e0afd1d418be862d9e34eacbd65337398c
• c6097dfbdaf256d07ffe05b443f096c6c10d558ed36380baf6ab446e6f5e2bc3
• c862dbcada4472e55f8d1ffc3d5cfee65d1d5e06b59a724e4a93c7099dd37357
• edde2673becdf84e3b1d823a985c7984fec42cb65c7666e68badce78bd0666c0
• ef7702ac5f574b2c046df6d5ab3e603abe57d981918cddedf4de6fe41b1d3288