Een recent incident heeft de veelgebruikte tool voor externe toegang, ScreenConnect, in de schijnwerpers gezet. De gezondheidszorgsector, een veld dat vaak het doelwit is, werd geconfronteerd met een aanzienlijke bedreiging. Bedreigingsactoren hebben met succes ScreenConnect gecompromitteerd om meerdere Windows Server-instanties te misbruiken. Huntress, een vooraanstaand cybersecuritybedrijf, luidde de noodklok na het detecteren van ongeoorloofde toegang binnen de gezondheidszorg. Ze hebben bewijsmateriaal gevonden dat wijst op interne verkenningen en voorbereidingen voor aanvullende kwaadaardige activiteiten tegen gezondheidszorgorganisaties.
ScreenConnect, een tool voor computertoegang en -controle op afstand, is populair in verschillende sectoren, waaronder de gezondheidszorg. Het wordt gebruikt voor technische ondersteuning en het op afstand beheren van systemen. De recente inbreuk benadrukt echter de potentiële gevaren als ScreenConnect in verkeerde handen valt. Elke cyberaanval gericht op gezondheidszorgsystemen brengt enorme hoeveelheden klantgegevens in gevaar.
Het onderzoek naar dit cyberveiligheidsincident brengt gerichte exploitatie aan het licht van een lokale ScreenConnect-sessie die wordt gehost binnen het netwerk van een organisatie om initiële toegang te krijgen tot het netwerk van de slachtoffers. De ScreenConnect-sessie werd lokaal gehost door Transaction Data Systems, nu bekend als Outcomes. De aanvallers hebben, mogelijk met begrip van een insider, aanvullende stappen ondernomen. Vervolgens hebben ze niet alleen de lokale ScreenConnect-sessie gehackt, maar ook strategisch aanvullende tools geïnstalleerd, zoals andere exemplaren van ScreenConnect en AnyDesk. Deze stap zorgde voor langdurige toegang tot en controle over de gecompromitteerde systemen gedurende een langere periode.
Huntress’s onderzoek naar de situatie bracht in totaal vier exemplaren van ScreenConnect aan het licht op twee verschillende aanvalseindpunten. Wat een intrigerende laag toevoegt, is dat deze eindpunten toebehoorden aan totaal verschillende organisaties binnen de gezondheidszorgsector. Ze identificeerden één ScreenConnect-instantie, gelabeld als Instance B, aanwezig op beide eindpunten. Bovendien waren bij de exploit twee Windows-serversystemen betrokken.
Twee eindpunten, één in de farmaceutische sector en de andere in de gezondheidszorg, deelden hetzelfde kwaadaardige ScreenConnect-exemplaar
Door serverlogboeken te analyseren, stelde Huntress vast dat ScreenConnect Instance B actief een payload downloadde. Huntress zegt: “De lading, test.xml, bestaat uit C#-code die het openbaar beschikbare nps-project afsplitst voor het ontwijken van detectie en het uitvoeren van processen. Zoals ontworpen, probeert de payload een Metasploit Meterpreter-instantie in het geheugen te laden, maar antimalware-beveiligingen op het systeem worden geïdentificeerd en geprobeerd de uitvoering te beëindigen. Dit lijkt echter niet te zijn gelukt, aangezien werd waargenomen dat er aanvullende processen werden gestart via de Printer Spooler-service. spoolsv.exe.”
Deze instantie diende als kanaal voor de aanvallers om meerdere acties uit te voeren, zoals het installeren van meer tools, het uitvoeren van opdrachten en het verplaatsen van bestanden. Met name koppelden de bedreigingsactoren de kwaadaardige ScreenConnect-instantie aan een domein dat daarmee geassocieerd was Transactiegegevenssystemen. Dit duidt op een mogelijk compromis of misbruik van de tools voor beheer op afstand die verband houden met transactiegegevenssystemen.
Deze koppeling roept kritische vragen op. Duidt dit op een volledig compromis van transactiedatasystemen? Hebben de aanvallers de inloggegevens van werknemers verkregen of is er een ander mechanisme in het spel? Omdat organisaties voor efficiëntie afhankelijk zijn van tools voor externe toegang, wordt het beveiligen van deze tools tegen mogelijke compromissen belangrijker dan ooit.
