Уязвимость ConnectWise ScreenConnect и атаки CHAINVERB на финсектор
Обнаружена уязвимость в ConnectWise ScreenConnect, связанная с фишинговыми атаками на финансовые организации
13 февраля 2024 года независимый исследователь сообщил о критической уязвимости в программном обеспечении ConnectWise ScreenConnect версий 23.9.7 и старше. Этот инцидент был выявлен в рамках официальной программы раскрытия уязвимостей ConnectWise. Однако реальная угроза проявилась значительно позже — в мае 2025 года. Тогда специалисты кибербезопасности столкнулись с масштабными атаками, связанных с использованием вредоносных программ, основанных на бэкдоре CHAINVERB.
Связь уязвимости с кампанией UNC5952
Исследования показали, что вредоносные дропперы CHAINVERB применяются хакерской группой UNC5952 в целевых фишинговых кампаниях, нацеленных на глобальные финансовые организации. Злоумышленники используют в своих электронных письмах тему, связанную со счетами, чтобы завлечь жертв и обманным путем заставить открыть вредоносные вложения.
- CHAINVERB функционирует как загрузчик, применяя цифровые подписи для маскировки Windows-исполняемых файлов.
- Вредоносные программы используют домены верхнего уровня dns.net TLD, что свидетельствует о выверенной инфраструктуре C2.
- URL-адреса командного центра управления (C2) скрываются непосредственно в цифровом сертификате, что усложняет обнаружение и блокировку.
Опасные возможности эксплойтов
Связь с инструментом удалённого доступа ConnectWise Control подразумевает, что после успешного заражения злоумышленники могут:
- Инициировать удалённые сессии связи с инфраструктурой C2;
- Выполнять внутреннюю разведку заражённых систем;
- Получать конфиденциальную информацию, включая снимки экрана и данные, получаемые во время сессий.
Одним из доказательств активных атак послужило фишинговое письмо с узнаваемого адреса, содержащего вредоносный PDF-файл. По внутренней ссылке происходила загрузка троянского файла, подписанного ConnectWise, что придавало ему видимость легитимного программного обеспечения.
Примеры обнаруженных доменов и вредоносных ресурсов
В ходе расследования были выявлены несколько доменов, используемых в качестве узлов C2:
kasin22.anondns.netyertoje.uzhelp.top
Также была обнаружена вредоносная веб-страница, имитирующая службу поддержки клиентов, которая распространяла вредоносные дропперы CHAINVERB. Это указывает на скоординированный и профессионально организованный подход атакующих.
Рекомендации по защите
Для минимизации рисков и предотвращения подобных атак организациям рекомендуется:
- Обновить ConnectWise ScreenConnect до последних исправленных версий;
- Внедрить полноценный аудит средств удалённого доступа;
- Блокировать фишинговые сообщения и тщательно проверять вложения;
- Проводить анализ журналов исполнения на наличие аномалий;
- Использовать средства контроля приложений, разрешающие запуск только авторизованного ПО;
- Информировать сотрудников о рисках взаимодействия с подозрительным контентом и повышения их осведомленности в вопросах кибербезопасности.
Эти меры призваны стать эффективным способом противодействия целенаправленным киберкампаниям, способным нанести серьёзный ущерб финансовому сектору и другим критически важным отраслям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
