EV-signierte Workplace-App-Installer verbreiten RMM-Backdoors

Einführung: warum das wichtig ist

Bedrohungsakteure fügen sich zunehmend in legitime IT-Betriebsabläufe ein, indem sie kommerziell verfügbare Remote Monitoring and Management (RMM)-Tools einsetzen. Diese Kampagne setzt die Messlatte weiter nach oben, indem sie vertrautes „Workplace-App“-Branding und EV Code Signing nutzt, um Nutzerverdacht zu reduzieren und Ausführungsraten zu erhöhen – und damit einen praxisnahen Initial-Access-Pfad in Unternehmen schafft, in denen Nutzer regelmäßig Meeting- und Dokumentensoftware installieren.

Was ist neu / wichtigste Erkenntnisse

Microsoft Defender Experts beobachtete mehrere Phishing-Kampagnen, die einem nicht identifizierten Bedrohungsakteur zugeschrieben werden. Zentrale Merkmale sind:

• Meeting- und Dokument-Köder: E-Mails gaben sich als Meeting-Einladungen (Teams/Zoom/Google Meet), Rechnungen, Finanzdokumente, Angebote und organisatorische Benachrichtigungen aus.
• Gefälschte PDFs und nachgeahmte Download-Seiten: Einige Nachrichten lieferten Fake-PDFs mit einer Schaltfläche „Open in Adobe“, die Nutzer auf eine Adobe-ähnliche Download-Seite umleitete, die ein „Update“ anforderte.
• Getarnte Executables: Payloads wurden so benannt, dass sie wie vertrauenswürdige Installer wirken, darunter msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe und trustconnectagent.exe.
• Missbrauch von Vertrauen durch EV-Signierung: Die Dropper waren digital mit einem EV-Zertifikat signiert, ausgestellt auf TrustConnect Software PTY LTD, wodurch sie legitim wirken.
• Ausbringung von RMM-Backdoors: Die Ausführung führte zur Installation von RMM-Tools wie ScreenConnect, Tactical RMM und Mesh Agent, die persistenten Remotezugriff ermöglichen.

Wie die Intrusion Persistenz herstellt (technische Highlights)

In der ScreenConnect-fokussierten Kette führte das „Workspace“-Executable Folgendes aus:

• Kopierte sich nach C:\Program Files, um wie eine legitim installierte Anwendung auszusehen.
• Registrierte sich als Windows-Dienst für Startup-Persistenz.
• Erstellte zusätzlich einen Autostart über den Run key:
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Wertname: TrustConnectAgent
  • Ziel: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
• Baute eine ausgehende Verbindung zur Angreiferinfrastruktur auf (insbesondere trustconnectsoftware[.]com).
• Nutzte kodiertes PowerShell, um zusätzliche Payloads herunterzuladen, und rief msiexec.exe auf, um ScreenConnect aus bereitgestellten MSI-Dateien zu installieren.

Microsoft berichtete über Fälle, in denen das MSI unsigniert wirkte, gefolgt von ScreenConnect-Binärdateien, die mit widerrufenen Zertifikaten signiert waren – ein Muster, das häufig mit bösartiger oder nicht autorisierter Bereitstellung in Verbindung gebracht wird.

Auswirkungen auf IT-Administratoren und Endanwender

• Nutzer werden über Routine-Workflows angegriffen: Meetings beitreten, Rechnungen prüfen und „veraltete“ Apps aktualisieren.
• IT- und Security-Teams können Angreiferaktivität als normale Admin-Tooling missverstehen, da RMM-Agenten wie genehmigter Remote-Support aussehen können.
• Risiko steigt nach einer Kompromittierung: Persistenz über Dienste/Autostarts plus RMM-Tooling kann Credential Access, Remote Control und laterale Bewegung beschleunigen.

Maßnahmen / nächste Schritte

• Software-Installationspfade härten: nutzergetriebene Installationen, wo möglich, einschränken; Allowlisting (z. B. WDAC/App Control) für „installer-ähnliche“ Executables erzwingen.
• RMM-Nutzung auditieren: genehmigte RMM-Tools inventarisieren und nicht autorisierte Agenten (ScreenConnect/Tactical RMM/Mesh) sowie verdächtige Diensterstellung blockieren oder alarmieren.
• Code-Signing-Trust-Entscheidungen überprüfen: „Signiert“ als Signal verstehen – nicht als Beweis. Detection-Logik für neue/seltene Publisher und ungewöhnliche EV-signierte Binärdateien ergänzen.
• Nach Persistenz-Indikatoren suchen: nach dem TrustConnectAgent Run key, unerwarteten Diensten sowie verdächtigen msiexec.exe- plus kodierten PowerShell-Mustern suchen.
• Phishing-Resilienz stärken: Nutzerhinweise zu „Update erforderlich“-Prompts aus E-Mail/PDFs schärfen und Defender-Schutz nutzen, um Anhänge und Links zu detonieren/zu inspizieren.