Злоумышленники используют ConnectWise для распространения подписанного вредоносного ПО

Атаки под кодовым названием EvilConwi начали активно распространяться после того, как в феврале 2024 года были обнаружены две критические уязвимости в ConnectWise (CVE-2024-1708 и CVE-2024-1709). Тогда злоумышленники использовали их для проведения масштабных атак вымогателей. Однако новая волна злоупотреблений оказалась более изощренной: теперь злоумышленники не просто эксплуатируют уязвимости, а модифицируют легитимные установщики ConnectWise, встраивая в них вредоносный функционал.

Пользователи, столкнувшиеся с заражением, часто обращаются за помощью на форумы. В ряде случаев жертвы сообщают о подозрительных установщиках ConnectWise, которые запускаются после перехода по фишинговым ссылкам. Например, в одном из инцидентов злоумышленники использовали поддельное письмо с предложением просмотреть документ через OneDrive. Ссылка вела на страницу Canva с кнопкой "View PDF", которая на самом деле загружала вредоносный установщик ConnectWise. Пользователи жаловались на фальшивые экраны обновления Windows и неконтролируемые движения курсора, что указывало на активное удаленное подключение злоумышленников.

Анализ вредоносных образцов показал, что злоумышленники активно изменяют параметры в сертификатной таблице исполняемых файлов, используя технику Authenticode stuffing. Это позволяет модифицировать поведение программы, не нарушая ее цифровую подпись. Например, в одном из образцов эксперты обнаружили поддельные сообщения о системных обновлениях, которые убеждали пользователей не выключать компьютер, пока злоумышленники получали удаленный доступ.

Для защиты от подобных атак эксперты рекомендуют внедрять правила обнаружения на основе анализа конфигурационных файлов ConnectWise. В частности, следует обращать внимание на параметры, которые отключают визуальные индикаторы работы программы, такие как иконка в системном трее или уведомления о подключении. Также важно проверять встроенные ресурсы, такие как поддельные иконки приложений и фоновые изображения, имитирующие системные сообщения.

Кибербезопасность - это непрерывная гонка между защитниками и злоумышленниками. В случае с ConnectWise злоумышленники нашли способ обойти традиционные механизмы защиты, используя легитимные инструменты. Однако своевременное обновление сигнатур и внедрение поведенческого анализа помогут минимизировать риски. Компании должны не только полагаться на антивирусные решения, но и обучать сотрудников распознаванию фишинговых атак, которые остаются основным вектором заражения.

SHA256

• 23ff4f91db852b07c7366a3c3b8be0bade2befccbfea7e183daadb5e31d325c0
• 277ef6c0dcaf0e76291fbde0199dda1ca521c03e77dc56c54f5b9af8508e6029
• 28f46446d711208aa7686cdaea60d3a31e2b37b08db7cfb0ce350fcd357a0236
• 41037935246da6f43615d93912bc62811c795ea4082a2bfdbf3eda53a012666e
• 4e5cfd915f44dc263f29e1eaef82b3e2e903ba92b10f88c0eaf89fe5eab82ff5
• 540c9ae519ed2e7738f6d5b88b29fb7a86ebfce67914691ce17be62a9b228e0a
• 55a228f22f68b8a22967cc5b8b2fcbea66fcaf77bebedfb1f89cd134a0268653
• 573f1eefac3079790a9ab40bdd3530ce34b1d2d1c6fa6703a5a8d81cb190a458
• 5ccc9ef3e8f7113469f4a46c3aca3939fd53b3561a9fd8ffacd531aa520c5921
• 5da9a0d0830c641ffda6be3be7733de469418abedc6fac0cfcd76ba49f8ade2e
• 67b909bbcce486baba59d66e3b4ec4c74dd64782051a41198085a5b3450d00c9
• 6aa1b9f976624f7965219f1a243de2bebb5a540c7abd4d7a6d9278461d9edc11
• 6bce39b7d7552dbacbb4bdf06b76b4fed3fbb9fe4042b81be12fbdff92b8d95c
• 6d9442ae6ba5a9f34a47e234b6047f61d8ac129e269199793ebb0bed1ad7e3ba
• 7180238578817d3d62fd01fe4e52d532c8b3d2c25509b5d23cdabeb3a37318fc
• 7287a53167db901c5b1221137b5a1727390579dffd7098b59e6636596b37bc27
• 72fe38ad67a26cfd89d1bfc744d33f80277e8eb564b5b92fdac46a9a24d845f3
• 8fc8727b6ddb28f76e46a0113400c541fb15581d2210814018b061bb250cc0e6
• 98e3f74b733d4d44bec7b1bf29f7b0e83299350143ff1e05f0459571cb49c238
• a6fb2a4be91f6178d8ba0ca345727d1cb7995c3e4a659a68bef306c9eff4b18e
• b1c36552556a69ec4264d54be929e458c985b83bbc42fe09714c6dce825ac9a7
• b61aed288b4527b15907955c7521ff63cc0171087ac0f7fea6c7019a09c96c04
• C0c48de11bc4b70fb546b9a76b6126a355c0a0f4b45ed6b6564d8f3146c9f0af
• cb8a1a1e90c29461b0503e2c5deac7b673617477128ee3baea4d8134676c8af4
• D37e804938cf0a11c111832b509fbecf8a0f3e9373133be108d471d45db75de8
• d6844a6050d5f6c20a3fe12df28e53a2e46559e6c5017576022372e35ab44ff5
• E7f9b9c9205162ddee72a7b7ff86b6524e19c7e8b51f64fdbffc8015c7e8934c
• F55c6160ed57a97c4f0e1c6aa6e3f8f01a966e96a99a29e609ec60e63be11889