سوء استفاده از قابلیت‌های نرم‌افزار Screen Connect توسط مهاجمان سایبری

پژوهشگران امنیت سایبری افزایش حملاتی را که از نرم‌افزارهای کاربردی نظارت و مدیریت از راه دور (RMM) برای دسترسی اولیه از طریق فیشینگ سوء‌استفاده می‌کنند، مشاهده کرده‌اند.
براساس یافته‌های جدید پروژه تحقیقاتی DarkAtlas، گروه‌های تهدید پیشرفته و پیوسته (APT) از پلتفرم‌های محبوب RMM، از جمله AnyDesk، ConnectWise ScreenConnect و Atera، برای به‌دست‌آوردن کنترل غیرمجاز بر سیستم‌ها سوء‌استفاده می‌کنند.

در حالی که شناسایی AnyDesk ساده‌تر شده و بسیاری از مهاجمان از آن دور شده‌اند، ScreenConnect اخیراً در میان عاملان تهدید محبوبیت یافته است.

چگونه مهاجمان از ScreenConnect سوء‌استفاده می‌کنند

در طول نصب، نرم‌افزار ScreenConnect عمدتاً در حافظه اجرا می‌شود، ردپاهای کمی روی دیسک باقی می‌گذارد و از اسکن‌های پایه آنتی‌ویروس‌ها فرار می‌کند.
تحقیقات نشان داده مهاجمان از کنسول مدیریت پلتفرم برای تولید نشانی‌های اینترنتی سفارشی یا لینک‌های دعوت استفاده می‌کنند که اغلب برای فیشینگ به کار می‌روند.

پس از استقرار، باینری کلاینت که معمولاً با نام ScreenConnect.WindowsClient.exe شناخته می‌شود، به‌عنوان یک سرویس ویندوز ثبت شده و اتصال از راه دور جهت پایداری را فراهم می‌کند.

پیامدها برای قربانی

تحقیقات DarkAtlas لاگ‌های کلیدی مانند Security Event ID 4573 و رویدادهای Application Log 100 و 101 را شناسایی کرده است.
داده‌های گفت‌وگو میان اپراتور و قربانیان در حافظه باقی می‌مانند؛ بنابراین، دریافت تصویر حافظه در تحقیقات ضروری است.

راهکارهای مقابله

• نشانی‌های اینترنتی (URL) و لینک‌های دعوت سفارشی
• بررسی رفتار In-memory Installer
• Persistent client binaries
• فایل‌های پیکربندی و شناسه‌های رویدادهای مرتبط با این نرم‌افزار

نتیجه

همان‌طور که پژوهش DarkAtlas تأکید می‌کند، درک این نشانه‌های ظریف از سوءاستفاده از ScreenConnect برای موفقیت در جرم‌شناسی دیجیتال و واکنش به رخدادها حیاتی است.

شرکت مدیران شبکه برنا با بیش از 10 سال سابقه در حوزه امنیت سایبری به منظور بررسی و تحلیل این قبیل حملات و تهدیدات، محصولات متنوعی را ارائه می‌دهد.

برای مشاوره و پشتیبانی امنیتی، با ما از طریق
صفحه تماس با ما
در ارتباط باشید یا برای آشنایی بیشتر
درباره ما بیشتر بدانید.