Cybersecurity -onderzoekers hebben details bekendgemaakt van een nieuwe campagne die gebruik maakt van ConnectWise ScreenConnect, een legitieme software voor monitoring en management op afstand (RMM), om een vleesloze lader te leveren die een externe toegang trojan (rat) laat vallen genaamd Asyncrat om gevoelige gegevens te stelen van gecompromitteerde hosts.
“De aanvaller gebruikte screenconnect om externe toegang te krijgen en voerde vervolgens een gelaagd VBScript en PowerShell -lader uit die componenten opgehaalde en liep uit externe URL’s,” zei LevelBlue in een rapport dat werd gedeeld met het Hacker News. “Deze componenten omvatten gecodeerde .NET -assemblages die uiteindelijk uitpakken in asyncrat met behoud van persistentie via een nep ‘skype updater’ geplande taak.”
In de infectieketen gedocumenteerd door het cybersecuritybedrijf is de dreigingsactoren gevonden om een screenconnect-implementatie te benutten om een externe sessie te initiëren en een Visual Basic Script-payload te starten via hands-on-keyboard-activiteit.
“We zagen Trojanized ScreenConnect -installateurs vermomden als financiële en andere zakelijke documenten die via phishing -e -mails werden verzonden,” vertelde Sean Shirley, Levelblue MDR SOC -analist, aan The Hacker News.
Het script van zijn kant is ontworpen om twee externe payloads (“logs.ldk” en “logs.ldr”) op te halen uit een aanvaller-gecontroleerde server door middel van een PowerShell-script. De eerste van de twee bestanden, “Logs.ldk”, is een DLL die verantwoordelijk is voor het schrijven van een secundair visuele basisscript naar schijf, met behulp van doorzettingsvermogen met behulp van een geplande taak door het door te geven als “Skype Updater” om detectie te ontwijken.
Dit visuele basiscript bevat dezelfde PowerShell -logica die aan het begin van de aanval wordt waargenomen. De geplande taak zorgt ervoor dat de payload automatisch wordt uitgevoerd na elke inlog.
The PowerShell script, besides loading “logs.ldk” as a .NET assembly, passes “logs.ldr” as input to the loaded assembly, leading to the execution of a binary (“AsyncClient.exe”), which is the AsyncRAT payload with capabilities to log keystrokes, steal browser credentials , fingerprint the system, and scan for installed cryptocurrency wallet desktop apps and Browserextensies in Google Chrome, Brave, Microsoft Edge, Opera en Mozilla Firefox.
Al deze verzamelde informatie wordt uiteindelijk geëxfiltreerd naar een command-and-control (C2) -server (“3OSCH20.duckdns (.) Org”) over een TCP-socket, waaraan de malware-bakens om payloads uit te voeren en post-exploitatie-commando’s te ontvangen. De C2-verbindingsinstellingen zijn hard gecodeerd of getrokken uit een externe Pastebin-URL.
“Fileless malware blijft een belangrijke uitdaging vormen voor moderne cybersecurity -verdedigingen vanwege zijn heimelijke aard en afhankelijkheid van legitieme systeemtools voor uitvoering,” zei LevelBlue. “In tegenstelling tot traditionele malware die payloads naar schijf schrijft, werken na het geheugen na het geheugen, waardoor ze moeilijker te detecteren, analyseren en uitroeien.”
