攻击者持续利用ScreenConnect部署恶意软件,建立持久远程访问
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
网络犯罪分子利用合法的远程监控工具ConnectWise ScreenConnect,对全球金融机构发起复杂的恶意软件攻击。攻击者通过数字签名的合法软件绕过安全控制,实施钓鱼邮件传播,建立持久远程访问,利用合法证书进行隐蔽通信,给企业带来双重安全挑战。
🎯
关键要点
- 网络犯罪分子利用合法的远程监控工具ConnectWise ScreenConnect发起恶意软件攻击。
- 攻击者通过数字签名的合法软件绕过传统安全控制,建立持久远程访问。
- 钓鱼邮件以发票主题为主要传播手段,利用财务通信实施攻击。
- 攻击者使用合法数字签名逃避检测,并部署CHAINVERB后门程序。
- UNC5952组织以经济利益为驱动,擅长实施社会工程学金融交易攻击。
- 多个电子犯罪活动中.top和dns.net顶级域名的使用量激增,显示攻击者基础设施偏好变化。
- ConnectWise承认可能遭到国家级威胁组织的入侵,Mandiant正在调查此事。
- 企业面临双重挑战:维持运营效率与防止合法工具被恶意利用。
- CHAINVERB恶意软件通过独特的命令控制通信方式展现复杂的规避技术。
- 恶意软件利用合法证书基础设施与攻击者服务器保持隐蔽通信通道。
- 感染链始于包含恶意PDF附件的钓鱼邮件,攻击者滥用合法代码签名证书。
- 恶意软件启动后具备全面的主机侦察和屏幕截图捕获能力,促进数据外泄。
❓
延伸问答
攻击者如何利用ConnectWise ScreenConnect进行恶意软件攻击?
攻击者通过合法的ConnectWise ScreenConnect工具,利用数字签名绕过安全控制,实施钓鱼邮件传播,建立持久远程访问。
钓鱼邮件在这些攻击中扮演什么角色?
钓鱼邮件以发票主题为主要传播手段,利用财务通信的普遍性来实施攻击。
UNC5952组织的攻击动机是什么?
UNC5952组织以经济利益为驱动,擅长实施社会工程学金融交易攻击。
CHAINVERB恶意软件的特点是什么?
CHAINVERB恶意软件通过独特的命令控制通信方式展现复杂的规避技术,并具备全面的主机侦察和屏幕截图捕获能力。
企业在面对这些攻击时面临哪些挑战?
企业需要同时维持运营效率与防止合法工具被恶意利用,面临双重安全挑战。
攻击者如何保持与受感染系统的隐蔽通信?
攻击者利用合法证书基础设施与攻击者服务器保持隐蔽通信通道,确保持续的远程访问。
➡️
