一种利用合法远程监控和管理软件的新攻击活动的出现,引起了全球安全团队的警惕。
攻击者正在分发经过木马化处理的ConnectWise ScreenConnect(现称为ConnectWise Control)安装程序,以交付双重有效载荷:广泛使用的AsyncRAT和一个基于PowerShell的自定义远程访问工具(RAT)。
通过利用可信软件痕迹和开放目录,攻击者绕过基于特征码的防御措施,并维持对已入侵网络的长期访问权限。
首批事件于2025年5月浮出水面,当时分析师发现暴露的文件服务器上托管着异常的ScreenConnect安装程序。
这些安装程序包含ClickOnce加载器,执行时会在运行时获取恶意组件,而非直接嵌入有效载荷。
在一个案例中,一个被篡改的安装程序悄悄启动了一个VBS脚本,该脚本执行了一个武器化的快捷方式,通过执行策略绕过触发PowerShell来运行加载器脚本。
Hunt.io网络团队的研究人员在关联多个暴露主机的遥测数据并关联开放目录中的IOC后,发现了这种策略。
后续分析揭示了一种可重复的基础设施模式。受感染的安装程序转向托管名为logs.ldk、logs.idk和logs.idr的.zip归档文件的仓库,这些文件解压缩后会生成投放器脚本(Ab.vbs或Ab.js)、PowerShell加载器(Skype.ps1)、原生注入器DLL(libPK.dll)以及一个快捷方式文件(Microsoft.lnk)。
VBS启动器使用WScript.Shell调用快捷方式,该快捷方式进而使用隐藏窗口运行PowerShell来启动Skype.ps1。
此脚本会重构一个嵌入的有效负载 blob,调用 DLL 导出的Execute函数以进行内存中原生暂存,并创建一个名为 SystemInstallTask 的计划任务以实现持久化。
感染机制
感染链始于一个看似无害的ScreenConnect客户端安装程序。
一旦执行,它会将VBS加载器(Ab.vbs)放入公共文件夹,并注册一个Windows快捷方式。该快捷方式的目标被精心设计为启动PowerShell,并带有-ExecutionPolicy Bypass -WindowStyle Hidden参数,调用一个名为Skype.ps1的小型脚本文件。
Skype.ps1包含Base64编码的有效负载片段,它会根据检测到的安全产品将这些片段解码为.NET程序集或原生外壳代码。
如果脚本检测到TotalAV或Avast等杀毒软件,它会通过System.Reflection.Assembly.Load执行内存中程序集加载;否则,它会使用PowerShell的Add-Type动态导入libPK.dll,并调用Execute将有效负载注入合法的宿主进程。
为保持恢复能力,加载器还会安排周期性任务(每2-10分钟一次),以确保在终止后能快速重新执行。
此外,使用开放目录进行初始暂存使攻击者能够频繁轮换文件和域名,这增加了检测的难度。
模块化脚本、定时任务和双重执行路径的结合,体现了一个复杂的多阶段交付框架,该框架将对合法远程监控与管理(RMM)软件的滥用与定制化远程访问工具(RAT)有效载荷相结合。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
