Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Когда RMM превращается в оружие

1 мин
изображение: recraft По данным исследования проекта DarkAtlas, киберпреступники сейчас часто используют легальные платформы удалённого мониторинга и управления (RMM) для получения первоначального доступа к системам. В центре внимания — ScreenConnect от компании ConnectWise, набравший популярность среди групп APT после снижения интереса к AnyDesk, который стал легче обнаруживаться защитными системами. Платформа ScreenConnect предназначена для легитимного администрирования: управления устройствами, развёртывания задач, поддержки пользователей. Она работает в средах Windows, macOS, Linux, iOS и Android. Однако те же функции стали использовать и хакеры — для закрепления в системе, бокового перемещения и маскировки присутствия. Исследователи сообщили, что злоумышленники активно задействуют: Во многих случаях запуск клиента ScreenConnect осуществляется прямо в памяти, что снижает вероятность обнаружения стандартными средствами защиты. Установленный агент регистрируется как служба Windows под

изображение: recraft

По данным исследования проекта DarkAtlas, киберпреступники сейчас часто используют легальные платформы удалённого мониторинга и управления (RMM) для получения первоначального доступа к системам. В центре внимания — ScreenConnect от компании ConnectWise, набравший популярность среди групп APT после снижения интереса к AnyDesk, который стал легче обнаруживаться защитными системами.

Платформа ScreenConnect предназначена для легитимного администрирования: управления устройствами, развёртывания задач, поддержки пользователей. Она работает в средах Windows, macOS, Linux, iOS и Android. Однако те же функции стали использовать и хакеры — для закрепления в системе, бокового перемещения и маскировки присутствия.

Исследователи сообщили, что злоумышленники активно задействуют:

  • неконтролируемый доступ;
  • VPN-функции;
  • REST API-интеграцию;
  • систему передачи файлов.

Во многих случаях запуск клиента ScreenConnect осуществляется прямо в памяти, что снижает вероятность обнаружения стандартными средствами защиты. Установленный агент регистрируется как служба Windows под именем ScreenConnect.WindowsClient.exe, что позволяет злоумышленникам сохранять постоянное удалённое подключение.

В отчёте говорится, что вредоносные экземпляры распространяются через специально сгенерированные URL и приглашения на сеанс — механизмы, изначально разработанные для удобного администрирования. Такие ссылки используются в фишинговых кампаниях, когда пользователь сам инициирует установку, не подозревая об угрозе.

Файлы user.config и system.config содержат конфигурационные данные (хостнеймы, IP-адреса, зашифрованные ключи), позволяющие отслеживать подозрительную активность и установить связь с контролируемыми доменами.

Оригинал публикации на сайте CISOCLUB: "DarkAtlas: злоумышленники используют легитимные функции ScreenConnect для скрытного вторжения в сети".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются