Киберпреступники усиливают атаки через троянизированные установщики ScreenConnect, внедряя несколько вредоносных программ на одну цель

Эволюция методов начального доступа стала ключевой особенностью новых кампаний. Вместо традиционных установщиков злоумышленники перешли на использование компактных ClickRunner-инсталляторов, которые не содержат встроенной конфигурации, а загружают необходимые компоненты непосредственно во время выполнения. Это значительно усложняет традиционные методы статического анализа и обнаружения, оставляя защитникам ограниченные возможности для предотвращения атак.

Новым элементом атаки стала автоматизированная установка двух различных RAT на одну систему сразу после инсталляции ScreenConnect. Исследователи обнаружили одновременное использование известного AsyncRAT и специально разработанного троянца на основе PowerShell. Такой подход может служить для создания избыточности, тестирования инструментов или указывать на использование инфраструктуры несколькими группами злоумышленников.

Особый интерес представляет кастомный PowerShell RAT, не встречавшийся ранее в открытых источниках. Этот троянец выполняет разведку системы, передаёт данные через Microsoft.XMLHTTP и использует многослойные методы обфускации. Уникальный код указывает на его разработку непосредственно атакующими, вероятно, для обхода сигнатурных систем обнаружения.

Через две недели после первоначального компрометирования злоумышленники модернизировали цепочку заражения, перейдя на использование batch-файлов и VBS-загрузчиков, которые получают и выполняют зашифрованные сборки .NET для развёртывания AsyncRAT. Это демонстрирует высокую адаптивность и постоянное развитие инфраструктуры.

Распространение вредоносных установщиков осуществляется через фишинговые кампании с использованием файлов, маскирующихся под официальные или финансовые документы. Также отмечается повторное использование предварительно настроенных виртуальных машин Windows Server 2022 с consistent hostnames в различных кампаниях, что позволяет быстро развёртывать и менять инфраструктуру.

Эксперты подчёркивают, что злоупотребление инструментами удалённого мониторинга и управления (RMM), такими как ScreenConnect, становится всё более распространённым явлением. Организациям рекомендуется усилить мониторинг использования RMM-решений и тщательно проверять все развёртывания ScreenConnect. Раннее обнаружение и блокировка подозрительной активности могут предотвратить серьёзные последствия, включая кражу данных и горизонтальное перемещение (lateral movement) по сети.

Активное использование легитимного ПО в вредоносных целях требует пересмотра традиционных подходов к безопасности и внедрения многоуровневой защиты, сочетающей поведенческий анализ, мониторинг сетевой активности и строгий контроль установленного программного обеспечения.

IPv4

• 169.156.208.185
• 185.196.8.100
• 185.196.9.158

Domains

• morco.rovider.net

URLs

• https://eywordvailabom.com/sa/16-05.txt
• https://guilloton.fr/x.zip
• https://systemwindowsupdate.com/alosh/logs.ldk

SHA256

• 068504cb4ac18d504247ef7a2c19a76b17a85e795b52e541fa8a49de69b91f01
• 10eeb21202e7eb055f9fac37dab96f86dfeb9f28c0510f33e4324d12087cacf2
• 1da9428df9a04e6ca1d836d1e941b61e30b6af952d24d7b451a8d1e906ece0c0
• 53aad05571e86f22e2c75ed4fa6c8f553c3ebd58dca8be9fe8a143784aef29d7
• 67a32455a94b3396ad956cbdda81d8ed1cd3727315159e025299057118deb6ac
• 6ae546da4d6d78d4262f3a2ff5e4f58c345294383ed9ff5e4daa52466fe79e2f
• 6fa549f446a541856784695db808de2e5c67da271c64ecc966c7c0b02622d58b
• 973a02ff597864e3920ed1041d24d629a0762cde932eb69aea066cd2235404f8
• a4bf71f97c3a2f3fda496d204b5e744d6f1da8d888ace3867da08d072af01245
• b82e616e956a956ff5d9affcc13c907cf5054439fb5ee5a6f7aa5ffee030da56
• bb182b8545b8c825811c6d09c738c230fe54bc96adf1f10a3683b7e5294b5289
• c260779fb1c9ff775739f6cf1853c9c33131ecf176737f6af26b0ac60a6081dc
• e7c482e66efa99ea98e2c79beb0a31c5120b73e4951a5f33133066b17e009da1
• ef66d80511cd46c5173bf13e750c51114ee891e833f4f256a23e7de4790acc73

Mutexes

• AsyncMutex_al026
• AsyncMutex_alosh20215