DarkAtlas: злоумышленники используют легитимные функции ScreenConnect для скрытного вторжения в сети

изображение: recraft
По данным исследования проекта DarkAtlas, киберпреступники сейчас часто используют легальные платформы удалённого мониторинга и управления (RMM) для получения первоначального доступа к системам. В центре внимания — ScreenConnect от компании ConnectWise, набравший популярность среди групп APT после снижения интереса к AnyDesk, который стал легче обнаруживаться защитными системами.
Платформа ScreenConnect предназначена для легитимного администрирования: управления устройствами, развёртывания задач, поддержки пользователей. Она работает в средах Windows, macOS, Linux, iOS и Android. Однако те же функции стали использовать и хакеры — для закрепления в системе, бокового перемещения и маскировки присутствия.
Исследователи сообщили, что злоумышленники активно задействуют:
- неконтролируемый доступ;
- VPN-функции;
- REST API-интеграцию;
- систему передачи файлов.
Во многих случаях запуск клиента ScreenConnect осуществляется прямо в памяти, что снижает вероятность обнаружения стандартными средствами защиты. Установленный агент регистрируется как служба Windows под именем ScreenConnect.WindowsClient.exe, что позволяет злоумышленникам сохранять постоянное удалённое подключение.
В отчёте говорится, что вредоносные экземпляры распространяются через специально сгенерированные URL и приглашения на сеанс — механизмы, изначально разработанные для удобного администрирования. Такие ссылки используются в фишинговых кампаниях, когда пользователь сам инициирует установку, не подозревая об угрозе.
Файлы user.config и system.config содержат конфигурационные данные (хостнеймы, IP-адреса, зашифрованные ключи), позволяющие отслеживать подозрительную активность и установить связь с контролируемыми доменами.



