ScreenConnect-Admins im Visier von Spear-Phishing-Angriffen

Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche „Review Security“ in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Fortschrittliche Angriffe

Für die Phishing-Seiten setzen die bösartigen Akteure auf das EvilGinx-Open-Source-Framework. Es sitzt in einer Man-in-the-Middle-Position und dient dem Abfangen von Zugangsdaten und Codes für die Multifaktorauthentifizierung. Damit können die Angreifer persistenten Zugriff auf kompromittierte Zugänge erhalten. Den nutzen sie für die laterale Fortbewegung in den Netzwerken der Opfer, um zusätzliche Zugriffstools oder Malware auf verwalteten Endpunkte zu installieren.

Indizien für Infektionen (Indicators of Compromise, IOCs) nennt Mimecast in der Analyse in Form bislang beobachteter missbrauchter Angriffs-Domains und Infrastruktur-Diensten. Einige Tipps sollen helfen, die Zugangssicherheit zu verbessern. So sollten Unternehmen etwa den ScreenConnect-Admin-Zugang lediglich von verwalteten Geräten in der Organisation aus erlauben. Die Umstellung auf FIDO2/WebAuthn für ScreenConnect-Zugänge schützt diese zudem vor Phishing. Die Analyse liefert noch weitere mögliche Optimierungen.

Die Fernwartungssoftware Connectwise ScreenConnect steht bei Angreifern weit oben auf der Liste. Etwa Anfang Juni warnte die US-amerikanische IT-Sicherheitsbehörde CISA vor laufenden Angriffen. Am gleichen Tag haben Angreifer jedoch nicht nur Sicherheitslücken in der Software attackiert, sondern Connectwise gab bekannt, dass staatlich gelenkte Angreifer in die Netze des Anbieters eingedrungen sind.

(dmk)