В настоящее время проводится вредоносная кампания по установке программного обеспечения ScreenConnect для удаленного управления рабочими станциями Windows.
Кампания проводится в виде электронного письма о неоплаченном счете с вложенным файлом PDF, содержащим ссылку на вредоносный файл и надпись "Этот документ содержит защищенные файлы, для просмотра нажмите на кнопку "Открыть"".
При нажатии на ссылку загружается исполняемый файл, zip-файл или скрипт, в зависимости от конкретного PDF-файла, который варьируется от письма к письму.
После выполнения загруженного вредоносного файла происходит установка программы ScreenConnect для удаленного управления компьютером.
Установка настроена таким образом, что компьютер жертвы подключается к экземпляру, контролируемому злоумышленниками, без вмешательства пользователя.
Для загрузки вредоносных файлов в кампании используется множество URL-адресов файлообменных сервисов (помимо GitHub), что в сочетании с тем, что устанавливаемое ПО взаимодействует с лицензионной инфраструктурой компании ConnectWise (производителя ScreenConnect), затрудняет создание эффективного IoC-списка. Поэтому рекомендуется с осторожностью относиться к данному типу электронной почты.
В настоящее время нет никаких данных о конечной цели участников кампании; удаленный контроль над машиной жертвы является аномальным по сравнению с обычными кампаниями вредоносного ПО, направленными на Италию. Последние, по сути, направлены на кражу информации и лишь во втором случае, чисто конъюнктурно, становятся плацдармами для удаленного контроля над машиной.
Контроль над машиной позволяет злоумышленникам оценивать дальнейшие действия в каждом конкретном случае и может быть использован операторами IAB (Initial Access Broker), задача которых - оценить желательность жертвы и затем передать команду исполнителям программ-вымогателей или шпионажа.
Indicators of Compromise
Domains
- instance-m73xwc-relay.screenconnect.com
URLs
- http://247info.click/Documentpdf.zip
- https://247info.click/doc.exe
- https://247info.click/DocRecevutta.exe
- https://247info.click/Documentpdf.zip
- https://247info.click/hgsuhfs.jbb
- https://247info.click/ofertaprezi.pdf
- https://247info.click/PaymentProf.zip
- https://github.com/lovergithub1/versionpdfupdate/raw/main/document.zip
- https://t.ly/IddaZ
- https://www.dropbox.com/s/i30ieqrpesh4ter/AdobeARM.exe?dl=1
- https://www.dropbox.com/s/i30ieqrpesh4ter/Conferma%20Pagamento.exe?dl=1
- https://www.dropbox.com/s/qehjvio96w4fn5c/Photo%20and%20Fax%20Viewer.exe?dl=1
- https://www.dropbox.com/scl/fi/q7koxcyug90zcutj2dwsh/simple.ghf?rlkey=1qi40k7ozkrev1govodhdxv8i&dl=1
- https://www.mediafire.com/file_premium/6fbr46w18dhi2nv/document.zip/file
- https://www.mediafire.com/file_premium/9rki4vttmdy11se/SignedOrdini.zip/file
- https://www.mediafire.com/file_premium/b7axm7b5mo2p3az/Recivutta.vbs/file
- https://www.mediafire.com/file_premium/k518x7nrfpt6j2e/document.img/file
- https://www.mediafire.com/file_premium/ytjvcoxc7msnnpd/SignedOrdini.img/file
MD5
- 302ed52d9459e06cc2d4b81de0e2295c
- 334df8989da06aff9a71ab0f6534301a
- 736f8c7459170ca6818e5ca06c440711
- 79e6f2e1a2a967cbee8803b244fdff72
- 7d67a39fdb01fcf50e3cb0b385d37ba2
- a047bfe20c52c21bc6060ff0f763c235
- ff139aa66d20be99c34f5e9daec7726b
SHA1
- 0a51c6c7555be78bba9c0dc24b00ac96a51930ed
- 330d836bb60d50b9b6d5769f9e15579fbb5d8834
- 6f3500c343c7ec13e7ab3b304df735a0b96f29a3
- 73049a2f4f19b01adb05df3c3d073cb6066169e6
- 912d6ac12b7be744aa3b3b805c03857c3e43925f
- cd300c6a2c22a95b4e5f990ed32b8f429b532328
- e51d26097505137367abce02a6bd1ef242967615
SHA256
- 8af109464910afb8c5dc0e1e3c47c58eb6d44c7cbe1b1c2d0dc2979cf5cb5ea9
- a656947bcc659d1465ad91dcf8f2cab6d0ae17918eeb0cbf7408b6a8b062adb1
- af5a12a388a7bf416d11b3123251e422f5fd94501e893d11e4fa91de3cb13220
- b84f83141e3b56a610fe0c3dd672fcf8f0846ec973d22e8b56e306aa2739e040
- c4c0df629f8dbb15bf56089c1bb1f31e4fcc485376ec771942a997bb1654ee9b
- ddb93981561e8538fc75eaec73506f5498b2b0bd504c79ed079ed223b13a63c4
- ec67af31e0d4ca7f7b449a52468f8b206f5ac0703f5d745499b4e863c4816607
