网络犯罪分子利用篡改的ScreenConnect安装程序分发多个远程访问木马(RAT),通过伪装成官方文档进行社交工程攻击。Acronis Threat Research Unit发现此类活动自3月以来显著增加,并涉及复杂的恶意软件技术如进程空洞注入。建议组织加强对其远程监控管理工具的监控和安全措施。 2025-9-22 15:45:44 Author: www.securityinfo.it(查看原文) 阅读量:9 收藏
Campagne basate su installer ScreenConnect distribuiscono RAT multipli: l’analisi di Acronis TRU
Set 22, 2025 Attacchi, In evidenza, Minacce, News, RSS
L’Acronis Threat Research Unit ha pubblicato una nuova ricerca su una serie di campagne malevole che usano installer ScreenConnect compromessi per distribuire RAT multipli.
A partire dallo scorso marzo, il numero di attacchi che usano il tool di remote monitoring and management di ConnectWise per ottenere l’accesso iniziale alle reti è aumentato in maniera significativa. I cybercriminali sfruttano tattiche di social engineering per distribuire gli installer di ScreenConnect, camuffandoli da documenti ufficiali.
Nel corso dei mesi le tecniche dei cyberattaccanti si sono evolute fino a utilizzare un installer ClickOnce per il tool, ovvero installer che non si appoggiano su una configurazione integrata, ma reperiscono i diversi componenti a runtime. “Questa evoluzione rende meno efficaci i tradizionali metodi di analisi statica e complica la prevenzione, lasciando i ricercatori di sicurezza con poche opzioni” spiega il team di Acronis.
Dopo l’installazione, gli attaccanti sfruttano le funzionalità di automazione per eseguire due RAT: uno è il già noto AsyncRAT, mentre l’altro è un RAT custom basato su Powershell. Questo nuovo trojan è in grado di acquisire informazioni sui sistemi colpiti, esfiltrare i dati tramite Microsoft.XMLHTTP e usare numerose tecniche di offuscamento. Secondo i ricercatori, l’uso di due RAT serve probabilmente sia per avere ridondanza e quindi mantenere più facilmente l’accesso ai sistemi, sia per condividere l’infrastruttura con altri cybercriminali, sia per testare nuovi strumenti.
“Una volta installato, gli attaccanti sono in grado di assumere il controllo del computer compromesso, consentendo loro di installare ulteriori malware, rubare informazioni, stabilire una persistenza e muoversi lateralmente attraverso la rete” aggiunge il team di Acronis.
Nel corso dell’analisi, i ricercatori di Acronis hanno individuato inoltre un terzo RAT, rilasciato in seguito agli altri due tramite tecniche di process hollowing, ovvero che “svuotano” il codice legittimo di un processo per iniettarvi del codice malevolo.
Dalla ricerca è inoltre emerso che gli attaccanti utilizzano VM Windows Server 2022 preconfigurate, con hostname ricorrenti, per più campagne, tutte su indirizzi IP differenti; ciò permette al gruppo di ruotare velocemente l’infrastruttura e attivare velocemente nuove campagne.
I ricercatori ricordano alle organizzazioni di monitorare attentamente i propri strumenti RMM e controllare le istanze di ScreenConnect utilizzate.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh