Аналитики центра мониторинга безопасности (SOC) компании Huntress зафиксировали устойчивую тенденцию 2025 года: киберпреступники все чаще используют социальную инженерию для внедрения на корпоративные компьютеры легитимных, но управляемых ими инструментов для удаленного мониторинга и управления (RMM). Согласно данным «Отчета об киберугрозах Huntress 2025», в 2024 году 17.3% всех случаев несанкционированного удаленного доступа злоумышленников были связаны именно со злоупотреблением RMM. Такие программы, как ScreenConnect, TeamViewer и LogMeIn, позволяют атакующим не только получить доступ, но и замаскироваться в трафике, перемещаться по сети и обеспечивать постоянное присутствие (persistence) в системе.
Описание
Особую озабоченность экспертов вызывает рост инцидентов с компрометацией ScreenConnect. Хотя в конце сентября был отмечен всплеск таких атак, на протяжении всего года наблюдался стабильный поток подобных случаев. Злоумышленники используют три основных вектора: прямые атаки на платформы RMM, захват уже установленного на компьютерах жертв легитимного ПО и, что особенно актуально, обман сотрудников для установки контролируемого злоумышленниками RMM. Именно последняя тактика, основанная на фишинге и социальной инженерии, становится ключевой.
Аналитики Huntress выделили несколько повторяющихся типов приманок (lures), которые используются в 2025 году для того, чтобы убедить сотрудников запустить вредоносный исполняемый файл, замаскированный под документ. Классические темы остаются эффективными. Например, часто встречаются приманки, связанные с выписками из Социального страхования. В апреле сотрудник страхового агентства запустил подозрительный процесс после загрузки файла с названием "Social_Security_Statements_April2025_Updates.Client.exe", который оказался переименованным клиентом ScreenConnect.
Другой популярный сценарий - приглашения на мероприятия. В мае в компании-застройщике был зафиксирован запуск файла "special invitation letter(2).exe". Анализ показал, что это была вредоносная установка ScreenConnect, доставленная через фишинг. Не теряют актуальности и приманки, связанные со счетами и финансовыми отчетами. В январе в розничной компании несколько сотрудников стали жертвами целевой фишинговой атаки с файлом "RevisedStatementJAN2025.exe". Примечательно, что некоторые пользователи загружали этот вредоносный файл по несколько раз.
Исследование также показало, что злоумышленники активно повторно используют одни и те же домены в атаках на множество различных компаний. Например, с 13 января по 5 февраля 2025 года инстансы ScreenConnect, связанные с доменом "lory473[.]top", были обнаружены в 15 различных организациях. Более того, анализ данных по этому домену выявил целевую атаку на фирмы из сектора бухгалтерского учета, что говорит о предварительном сборе информации и выборе жертв. Также отмечено активное использование доменов динамического DNS, таких как "Zapto[.]org", которые позволяют атакующим скрывать свою инфраструктуру.
Типичный сценарий атаки выглядит так: в мае SOC Huntress обнаружил вредоносную установку ScreenConnect, инициированную через URL-адрес Google Docs. Жертва получила фишинговое письмо в Outlook, которое открывало в Chrome страницу с приманкой-приглашением. На странице была кнопка «Download Invitation», нажатие на которую запускало загрузку и установку вредоносного клиента ScreenConnect, сконфигурированного на домен злоумышленника. Это сразу предоставляло атакующему полный удаленный доступ к рабочей станции.
Использование легитимных RMM-инструментов позволяет злоумышленникам обходить традиционные антивирусные решения, так как само приложение не является вредоносным. ScreenConnect остается самым популярным инструментом в этой тактике, составляя 74.5% среди всех наблюдаемых злоупотреблений удаленным доступом. Для защиты компаниям рекомендуется усиливать обучение сотрудников киберграмотности, чтобы они могли распознавать подозрительные просьбы загрузить файлы. Кроме того, критически важны аудит и мониторинг всех инструментов удаленного доступа в сети, анализ логов на предмет подозрительной активности RMM и своевременное обновление такого ПО для устранения известных уязвимостей. Такие решения, как Managed Endpoint Detection and Response (EDR), помогают определять легитимность RMM-соединений, анализируя, например, репутацию домена, на который выходит клиент.
Индикаторы компрометации
Domains
- 0bd0.adrsxpjm0rga0n.de
- advancedaiinfrastructures.com
- lory473.top
- pv-sq.innocreed.com
- rok628.mxhelp.top
- slplegalfinance.com
- subjent25.zapto.org
- yoc736.ikhelp.top
SHA256
- 1af6e82e53622e4404668aa00e2772aae2515110a4440721c2ece040011fe981
- 44b6b1de9a618c97788631bc89372435a6ea0357e50497152a67219dea400209
- 7fdfe8b34ad911fa007d9f2c8b2cb99cea0ac760d23643850a72e75cf8aa62c3
- 82cb1fee5f4a7420d378efe0c4a9fc52d547208cb04c87d17c37b714778c9935
- 8b7cf22511ad2579339c7b05f513d02dd2d0d8c35f523cb79875006520f8435b
- 9681d73bdba27623a68e4faf1a10d928e6ca0e9fe697a378b96957c6aa46c38e
- 99d2abed5ce05b6616a33c16911038a40a7fabda7a6a4c2220daaf7ae4e6512c
- 9d6a88f2458481cfe1b3c5f4ce4dc76a1cf04f210fb6cbaa106bde3f7116330d
- A3e314dc43a4410e9bc8d93b27da8a7764138c6b453b8eb5fb6845f948901cf6
- afa765b692d2952cf8693c9d5b7070214e11f9f681f4b4f14142531cadaf3e92
- b218a4d70fabb2b1e986449597e4c40f9b8d10b1b5038e9e53d14534703ba8d1
- B3636a27cba5ba4c0c41e60c90a57a3250cbfbd1042879515cc132f74354d06e
- bdbac9fe9e7aca3a03d55867eddd905c4e222f3045b0015b823df4f034ee007a
- d8afcd4a1ad314c4f310a90e4f55d08155685585ac7dd03353794e493f312ce0
