Белые шляпы оказались чёрными. А доверие — фатальной ошибкой.
В последние месяцы специалисты Acronis TRU рост атак, в которых злоумышленники используют поддельные установщики ConnectWise ScreenConnect для первоначального проникновения в сети американских компаний. Этот подход основан на всё более популярной среди преступников тактике — злоупотреблении легальными инструментами удалённого администрирования, которые позволяют получить полный контроль над системой под видом обычной ИТ-поддержки.
Вместо привычных установщиков атакующие начали применять облегчённые ClickOnce-инсталляторы. В отличие от прежних вариантов они не содержат встроенной конфигурации, а загружают нужные компоненты уже во время выполнения. Это значительно затрудняет статический анализ и лишает средства защиты прежних индикаторов.
Схема атаки начинается с запуска исполняемого файла, замаскированного под финансовый или юридический документ. Установщик ScreenConnect связывает компьютер жертвы с сервером управления, размещённым на VPS, связанном с сервисом stealthrdp.com и доменами вроде morco.rovider[.]net. Подделанные серверные инсталляторы дают возможность генерировать клиенты с прописанными адресами злоумышленников, сохраняя видимость легальности.
После установки ScreenConnect автоматически запускает цепочку скриптов, которые в течение нескольких минут загружают сразу два трояна удалённого доступа. Первый из них — , известный инструмент для удалённого администрирования, который используется и в тестах на проникновение, и в криминальных операциях.
Для запуска применяется батник BypaasaUpdate.bat, скачивающий архив с компонентами: сам AsyncRAT, обход AMSI и механизм закрепления в системе. Постоянство достигается за счёт PowerShell-скрипта Skype.ps1, который через VBS-файл и задания планировщика заново инициализирует AsyncRAT каждую минуту. Несмотря на шумность такого подхода, он гарантирует выживание в системе, если процесс был остановлен.
Практически параллельно загружается второй инструмент — новый самодельный RAT на PowerShell. Он способен собирать сведения о системе, выявлять установленные антивирусы через WMI, передавать информацию на управляющий сервер с помощью Microsoft.XMLHTTP, принимать команды и запускать дополнительные скрипты или бинарные файлы. В коде использованы приёмы сокрытия: бессмысленные имена функций, хранение полезных нагрузок в виде массивов символов, обход AMSI в виде base64-строки. Такая разработка не встречалась в открытых репозиториях и, вероятно, была создана самим оператором для обхода сигнатурных детекторов.
Через две недели после первоначального заражения операторы модернизировали цепочку доставки AsyncRAT. Теперь установка идёт через VBS-файл MicrosoftUpdate.vbs, который скачивал два зашифрованных .NET-файла. Один из них, Obfuscator.dll, обеспечивал закрепление в системе и выполнял загрузку второго — основного бинарника AsyncRAT. Новый экземпляр использовал изменённый mutex и порты 4501–4503 для связи с прежним сервером 185.196.9.158.
Позже исследователи заметили внедрение ещё одного инструмента — PureHVNC RAT. Его загрузка шла через PowerShell-скрипт NvContainerRecovery.ps1, вызванный из WMI. Внедрение выполнялось методом Process Hollowing в RegAsm.exe, после чего запускался PureHVNC, связывавшийся с сервером на IP 169.156.208.185:8020. Закрепление обеспечивалось через автозагрузку с помощью VBS-обёртки.
Расследование инфраструктуры показало использование нескольких доменов, связанных со ScreenConnect-установщиками: gaza.rovider.net, lightc.rovider.net и других. Они размещались на тех же серверах stealthrdp.com и использовались в операциях с разными инструментами, включая XWorm и DCRat. Для маскировки зловредные файлы назывались как официальные документы — «Social_Security_Statement_Documents», «SSA Document Viewer» или «Business Schedule Organizer». Всё это указывает на активное применение и социальной инженерии.
Примечательно, что одни и те же виртуальные машины Windows Server 2022 с включённым RDP и установленным ScreenConnect-сервером использовались повторно в разных кампаниях. Хосты с одинаковыми именами WIN-BUNS25TD77J и COPY-OF-VM-2022 появлялись с разными IP-адресами, что свидетельствует о заранее подготовленных образах, которые можно быстро разворачивать для новых атак.
Эти кампании показывают, что злоумышленники не только комбинируют разные RAT в одной системе, но и постоянно меняют инструменты и инфраструктуру, делая их труднее обнаруживаемыми. Основной вывод экспертов Acronis: организациям необходимо тщательно отслеживать использование RMM-софта, особенно ScreenConnect, и проверять каждое его внедрение, чтобы не дать атакующим незаметно закрепиться в корпоративной сети.
Подробнее:
В последние месяцы специалисты Acronis TRU рост атак, в которых злоумышленники используют поддельные установщики ConnectWise ScreenConnect для первоначального проникновения в сети американских компаний. Этот подход основан на всё более популярной среди преступников тактике — злоупотреблении легальными инструментами удалённого администрирования, которые позволяют получить полный контроль над системой под видом обычной ИТ-поддержки.
Вместо привычных установщиков атакующие начали применять облегчённые ClickOnce-инсталляторы. В отличие от прежних вариантов они не содержат встроенной конфигурации, а загружают нужные компоненты уже во время выполнения. Это значительно затрудняет статический анализ и лишает средства защиты прежних индикаторов.
Схема атаки начинается с запуска исполняемого файла, замаскированного под финансовый или юридический документ. Установщик ScreenConnect связывает компьютер жертвы с сервером управления, размещённым на VPS, связанном с сервисом stealthrdp.com и доменами вроде morco.rovider[.]net. Подделанные серверные инсталляторы дают возможность генерировать клиенты с прописанными адресами злоумышленников, сохраняя видимость легальности.
После установки ScreenConnect автоматически запускает цепочку скриптов, которые в течение нескольких минут загружают сразу два трояна удалённого доступа. Первый из них — , известный инструмент для удалённого администрирования, который используется и в тестах на проникновение, и в криминальных операциях.
Для запуска применяется батник BypaasaUpdate.bat, скачивающий архив с компонентами: сам AsyncRAT, обход AMSI и механизм закрепления в системе. Постоянство достигается за счёт PowerShell-скрипта Skype.ps1, который через VBS-файл и задания планировщика заново инициализирует AsyncRAT каждую минуту. Несмотря на шумность такого подхода, он гарантирует выживание в системе, если процесс был остановлен.
Практически параллельно загружается второй инструмент — новый самодельный RAT на PowerShell. Он способен собирать сведения о системе, выявлять установленные антивирусы через WMI, передавать информацию на управляющий сервер с помощью Microsoft.XMLHTTP, принимать команды и запускать дополнительные скрипты или бинарные файлы. В коде использованы приёмы сокрытия: бессмысленные имена функций, хранение полезных нагрузок в виде массивов символов, обход AMSI в виде base64-строки. Такая разработка не встречалась в открытых репозиториях и, вероятно, была создана самим оператором для обхода сигнатурных детекторов.
Через две недели после первоначального заражения операторы модернизировали цепочку доставки AsyncRAT. Теперь установка идёт через VBS-файл MicrosoftUpdate.vbs, который скачивал два зашифрованных .NET-файла. Один из них, Obfuscator.dll, обеспечивал закрепление в системе и выполнял загрузку второго — основного бинарника AsyncRAT. Новый экземпляр использовал изменённый mutex и порты 4501–4503 для связи с прежним сервером 185.196.9.158.
Позже исследователи заметили внедрение ещё одного инструмента — PureHVNC RAT. Его загрузка шла через PowerShell-скрипт NvContainerRecovery.ps1, вызванный из WMI. Внедрение выполнялось методом Process Hollowing в RegAsm.exe, после чего запускался PureHVNC, связывавшийся с сервером на IP 169.156.208.185:8020. Закрепление обеспечивалось через автозагрузку с помощью VBS-обёртки.
Расследование инфраструктуры показало использование нескольких доменов, связанных со ScreenConnect-установщиками: gaza.rovider.net, lightc.rovider.net и других. Они размещались на тех же серверах stealthrdp.com и использовались в операциях с разными инструментами, включая XWorm и DCRat. Для маскировки зловредные файлы назывались как официальные документы — «Social_Security_Statement_Documents», «SSA Document Viewer» или «Business Schedule Organizer». Всё это указывает на активное применение и социальной инженерии.
Примечательно, что одни и те же виртуальные машины Windows Server 2022 с включённым RDP и установленным ScreenConnect-сервером использовались повторно в разных кампаниях. Хосты с одинаковыми именами WIN-BUNS25TD77J и COPY-OF-VM-2022 появлялись с разными IP-адресами, что свидетельствует о заранее подготовленных образах, которые можно быстро разворачивать для новых атак.
Эти кампании показывают, что злоумышленники не только комбинируют разные RAT в одной системе, но и постоянно меняют инструменты и инфраструктуру, делая их труднее обнаруживаемыми. Основной вывод экспертов Acronis: организациям необходимо тщательно отслеживать использование RMM-софта, особенно ScreenConnect, и проверять каждое его внедрение, чтобы не дать атакующим незаметно закрепиться в корпоративной сети.
Подробнее:
