Уязвимость в ConnectWise ScreenConnect: Злоумышленники превращают легитимный инструмент в троянца для удаленного доступа

Инцидент начинается с фишингового письма, которое маскируется под уведомление от Администрации социального обеспечения США. Злоумышленники используют поддельный домен "SSA[.]COM" вместо официального "ssa.gov". Письмо содержит орфографические ошибки, несоответствия в полях получателя и расплывчатую тему, призванную вызвать любопытство жертвы. Вложение к письму представляет собой архив с файлом расширения ".cmd".

Этот командный скрипт выполняет многоэтапную и скрытую установку вредоносного ПО, стремясь получить устойчивость в системе. Сначала он проверяет наличие прав администратора и автоматически повышает привилегии через механизм контроля учетных записей Windows, используя PowerShell. После получения полного контроля сценарий отключает встроенный защитный механизм Windows SmartScreen, внося изменения в реестр и принудительно перезапуская процесс Explorer.

Затем скрипт загружает внешний установщик формата MSI по незашифрованному протоколу HTTP с недоверенного URL-адреса. Файл сохраняется во временный каталог под безобидным именем. Для обхода стандартных предупреждений безопасности Windows скрипт удаляет так называемую "метку из интернета" с файла и использует альтернативные потоки данных. В завершение происходит полностью автоматическая и невидимая для пользователя установка MSI-пакета.

Установленный пакет распаковывает и инсталлирует компоненты ScreenConnect, включая исполняемый файл, библиотеки DLL и конфигурационные файлы. Ключевую роль играет файл "System.config", который предписывает клиенту ScreenConnect подключиться к удаленному серверу злоумышленников по адресу "dof-connect[.]top" через порт 8041, используя специальный ключ аутентификации.

Анализ исполняемого файла "ScreenConnect.ClientService.exe" показал, что это легитимный компонент ConnectWise ScreenConnect версии 25.2.4.9229, подписанный цифровым сертификатом. Однако важно отметить, что издатель сертификата явным образом отозвал его, что является серьезным индикатором компрометации. После запуска клиент устанавливает сетевое соединение с командным сервером, после чего система жертвы начинает демонстрировать поведение, характерное для троянца удаленного доступа, включая возможную эксфильтрацию данных. Трафик шифруется сессионным ключом и передается на сервер частями. Расследование показало, что домен управления принадлежит иранской сетевой инфраструктуре.

Данный случай наглядно демонстрирует, как злоумышленники превращают легитимное, но уязвимое или непроверенное программное обеспечение в инструмент для обхода корпоративных защитных систем. В этой кампании подписанный, но отозванный клиент ScreenConnect тихо развертывается после отключения SmartScreen, что позволяет ему выполняться без блокировки на основе репутации или предупреждений для пользователя. Злоупотребление устаревшим или скомпрометированным клиентом RMM позволяет атакующему получить постоянный несанкционированный удаленный доступ, уклоняясь при этом от традиционных механизмов обнаружения.

Этот инцидент подтверждает критическую важность своевременного обновления программного обеспечения, блокировки отозванных или уязвимых версий ПО, применения строгих "белых списков" для инструментов удаленного управления и мониторинга, а также активного наблюдения за попытками изменения систем безопасности. Эксперты отмечают, что атаки на непропатченные системы ConnectWise ScreenConnect участились, так как злоумышленники ищут легкие точки входа в корпоративные сети, используя известные уязвимости для первоначального доступа с последующей установкой вредоносного ПО, бэкдоров или программ-вымогателей.

Domains

• dof-connect.top

URLs

• https://delwayne.alwaysdata.net/Windowsetup.msi

SHA1

• 0fa008dfd45f39879412275d1a4c178cf7affae2
• 46fce36f4901d6acf19aaaa9cbd1a14df6d6aa85
• 48a5034e75b526e1a9371b4e728b02fb81d2c7c1
• b46c4e4694783311e2c612ed7f0ca67a88e1e352
• fde73710ce063bbf1e377c02a1a8615cf4da1c08