© 2021 Copyright GATECH S.A.
All rights reserved.

A Stealthy Threat: Exploring the ConnectWise ScreenConnect Exploit

AutoAI PostMachine Bez kategorii

Eksperci ds. cyberbezpieczeństwa odkryli nową kampanię wykorzystującą ConnectWise ScreenConnect , narzędzie RMM, w celu ułatwienia wdrażania wyjątkowo nieuchwytnego modułu ładującego, który toruje drogę atakowi AsyncRAT , zagrażającemu poufnym danym.

Pojawienie się zagrożeń związanych ze zdalnym monitorowaniem

Wraz z upowszechnieniem się narzędzi do zdalnego monitorowania i zarządzania (RMM), takich jak ConnectWise ScreenConnect, pojawił się niepokojący trend wykorzystywania tych platform, zaprojektowanych z myślą o ułatwieniu wsparcia IT, do niecnych celów. Zaufanie do tych narzędzi pozwala im działać z wysokim poziomem dostępu do zasobów systemowych, co czyni je atrakcyjnymi wektorami ataków. Cyberprzestępcy wykorzystują to zaufanie, kamuflując swoje działania pod pretekstem rutynowej konserwacji. Dyskretnie wykorzystują te zaufane platformy do dystrybucji złośliwego oprogramowania, takiego jak AsyncRAT, atakując systemy i sieci, zanim włamanie zostanie wykryte. Ta ukryta metoda podkreśla znaczącą zmianę w strategiach cyberataków, wykorzystując narzędzia przeznaczone do ochrony i zarządzania infrastrukturą cyfrową.

Mechanizm exploita ConnectWise ScreenConnect Exploit
metodycznie wykorzystuje rzeczywiste funkcjonalności ConnectWise ScreenConnect, oprogramowania do zdalnego monitorowania i zarządzania (RMM), aby przygotować grunt pod atak. Cyberprzestępcy zaczynają od włamania się do oprogramowania lub wykorzystania skradzionych danych uwierzytelniających w celu uzyskania dostępu. Po przejęciu kontroli, poruszają się w zaufanym środowisku, aby wdrożyć swój złośliwy ładunek, często tworząc zadania lub skrypty, które wydają się nieszkodliwe.

  • Atakujący używają VBScript, języka skryptowego natywnego dla systemu Windows, do cichego pobrania i uruchomienia ładunku AsyncRAT. Często jest to zamaskowane jako rutynowe aktualizacje lub skrypty konserwacyjne.
  • Dzięki zdolności języka VBScript do głębokiej interakcji z systemem hosta, ładunek można zainstalować bez wywoływania konwencjonalnych ostrzeżeń antywirusowych, co jest postrzegane jako legalna operacja oprogramowania RMM.
  • Kod VBScript jest zazwyczaj kodowany lub zaciemniany, aby narzędzia bezpieczeństwa mogły trudniej wykryć złośliwą aktywność.

Systemy ofiar są wykorzystywane pod pretekstem rutynowego zarządzania, nie pozostawiając po sobie prawie żadnych śladów, dopóki narzędzie do zdalnego dostępu AsyncRAT nie przejmie kontroli, dając atakującym pełną kontrolę nad zainfekowanymi maszynami.

  • Działanie i możliwości: AsyncRAT to trojan zdalnego dostępu, który działa w ukryciu, aby uniknąć wykrycia. Po zainstalowaniu zapewnia atakującemu pełną kontrolę nad zainfekowanym systemem. To złośliwe oprogramowanie może wykonywać polecenia zdalne, rejestrować naciśnięcia klawiszy, przechwytywać ekran, manipulować plikami i monitorować system, a także wykonywać inne złośliwe działania.
  • Komunikacja: komunikuje się z serwerem dowodzenia i kontroli (C2) za pomocą szyfrowanych kanałów, często maskując swój ruch, aby wtopić się w legalne działania sieciowe. W rezultacie jego wykrycie jest szczególnie trudne.
  • Personalizacja: atakujący mogą dostosować AsyncRAT do konkretnych systemów lub sieci, dzięki czemu każdy atak będzie inny i bardziej dostosowany do środków obronnych.
  • Zagrożenia: Zagrożenia związane z AsyncRAT obejmują kradzież poufnych informacji, takich jak dane uwierzytelniające i dane osobowe, potencjalny boczny ruch w sieciach prowadzący do powszechnego naruszenia bezpieczeństwa oraz możliwość pobrania dodatkowych złośliwych ładunków.

Strategie łagodzenia i obrony

  • Zadbaj o to, aby całe oprogramowanie RMM, zwłaszcza ConnectWise ScreenConnect, było aktualizowane najnowszymi poprawkami zabezpieczeń i aktualizacjami w celu wyeliminowania znanych luk w zabezpieczeniach.
  • Zastosuj uwierzytelnianie wieloskładnikowe (MFA) dla dowolnego oprogramowania do zdalnego dostępu, aby dodać dodatkową warstwę zabezpieczeń.
  • Ogranicz dostęp oprogramowania RMM do zaufanych sieci i urządzeń oraz regularnie kontroluj te kontrole dostępu.
  • Wdrożyć rygorystyczne systemy wykrywania i reagowania na zagrożenia w punktach końcowych (EDR), które monitorują nietypowe zachowania mogące wskazywać na aktywność AsyncRAT lub podobnego złośliwego oprogramowania.
  • Regularnie przeprowadzaj szkolenia pracowników na temat świadomości bezpieczeństwa, aby rozpoznawali próby phishingu, które mogą być punktem wejścia dla ataków RMM.
  • W przypadku podejrzenia naruszenia bezpieczeństwa należy mieć przygotowany plan reagowania na incydenty, który obejmuje odizolowanie zagrożonych systemów, przeprowadzenie dochodzenia w celu ustalenia przyczyny i skali naruszenia oraz transparentną komunikację z interesariuszami.

Wnioski

Wykorzystanie ConnectWise ScreenConnect podkreśla wagę czujności w środowiskach zdalnego dostępu. Solidne protokoły obronne są niezbędne do ochrony przed zaawansowanymi zagrożeniami, takimi jak AsyncRAT .

Źródło: https://thehackernews.com/2025/09/asyncrat-exploits-connectwise.html

Leave a Comment

Global Advanced Technology Exploration LOGO
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.