详细内容或原文请订阅后点击阅览
攻击者滥用连接屏幕连接以删除异步
hackers利用ConnectWise ScreenConnect通过脚本加载程序删除异步,窃取数据并使用伪造的Skype Updater持续。 LevelBlue研究人员警告一项活动,滥用ConnectWise ScreenConnect部署异步。攻击者使用VBScript/PowerShell装载机,并通过假的Skype Updater实现持久性。 ConnectWise ScreenConnect是远程桌面和远程支持软件,旨在启用[…]
来源:Security Affairs _恶意软件攻击者滥用连接屏幕连接以删除异步
Pierluigi Paganini 2025年9月11日hackers利用ConnectWise ScreenConnect通过脚本加载程序删除异步,窃取数据并使用伪造的Skype Updater持续。
LevelBlue研究人员警告滥用连接屏幕连接的活动以部署异步。攻击者使用VBScript/PowerShell装载机,并通过假的Skype Updater实现持久性。
ConnectWise ScreenConnect 异步ConnectWise ScreenConnect是一种远程桌面和远程支持软件,旨在从任何地方启用对计算机和设备的安全实时访问。 IT专业人员,托管服务提供商(MSP)以及企业广泛利用它来对端点进行故障排除,维护和远程管理。
攻击是从损坏的Screennect客户端开始的,威胁参与者通过恶意域(relay.shipperzone [。]在线)启动了与未经授权的ScreenConnect部署链接的交互式会话。
vbScript触发的powerShell命令,该命令获取了两个有效载荷,将它们存储在公共文件夹中,并将它们直接在内存中执行。攻击者使用经典的无归档恶意软件技巧,直接在内存中解码并运行了.NET组件,而不是将可执行文件保存到磁盘中,从而使检测和防御更加困难。
“从远程服务器下载了两个有效载荷,logs.ldk and logs.ldr。这些文件被写入C:\ users \ public \ public \ public \目录,并使用反射加载到内存中。脚本将第一个阶段有效载荷(logs.ldk)转换为字节阵列中,并通过第二个(logs.logs.logs.logs.logs.logs.logs.logs)将网络录制到主要脚本数据。并在动态加载的.NET组件中调用一种方法。”阅读LevelBlue发布的报告。
“此技术例证了无申请恶意软件:没有将可执行文件写入磁盘,所有恶意逻辑均在内存中执行。”
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook