Security

EV-ondertekende phishing installeert ScreenConnect RMM

3 min leestijd

Samenvatting

Microsoft Defender Experts zag phishingcampagnes waarin aanvallers zich voordoen als vergader-, factuur- en documentverzoeken en slachtoffers via nep-PDF’s en gespoofte downloadpagina’s verleiden om vermomde installers te starten. Opvallend is dat deze payloads met een EV-certificaat zijn ondertekend en uiteindelijk ScreenConnect RMM installeren, wat de aanvallen geloofwaardiger maakt en de kans op succesvolle initiële toegang in bedrijfsomgevingen vergroot.

Hulp nodig met Security?Praat met een expert

Inleiding: waarom dit belangrijk is

Threat actors mengen zich steeds vaker met legitieme IT-activiteiten door commercieel beschikbare Remote Monitoring and Management (RMM)-tools in te zetten. Deze campagne legt de lat nog hoger door vertrouwde branding van “werkplek-apps” en EV code signing te gebruiken om argwaan bij gebruikers te verminderen en de uitvoeringsgraad te verhogen—waardoor dit een praktisch initial-accesspad wordt in ondernemingen waar gebruikers routinematig software voor vergaderingen en documenten installeren.

Wat is nieuw / belangrijkste bevindingen

Microsoft Defender Experts observeerde meerdere phishingcampagnes die worden toegeschreven aan een niet-geïdentificeerde threat actor. Belangrijke kenmerken zijn onder meer:

  • Vergader- en documentlokkingen: E-mails deden zich voor als vergaderuitnodigingen (Teams/Zoom/Google Meet), facturen, financiële documenten, offertes en organisatorische meldingen.
  • Vervalste PDF’s en gespoofte downloadpagina’s: Sommige berichten leverden nep-PDF’s met een knop “Open in Adobe” die gebruikers doorstuurde naar een lookalike Adobe-downloadsite met de vraag om een “update”.
  • Vermomde uitvoerbare bestanden: Payloads kregen namen die op vertrouwde installers moesten lijken, waaronder msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe en trustconnectagent.exe.
  • Misbruik van vertrouwen via EV-ondertekening: De droppers waren digitaal ondertekend met een EV-certificate uitgegeven aan TrustConnect Software PTY LTD, waardoor ze legitiem leken.
  • Uitrol van RMM-backdoors: Uitvoering leidde tot installatie van RMM-tools zoals ScreenConnect, Tactical RMM en Mesh Agent, waarmee persistente remote access mogelijk werd.

Hoe de inbraak persistentie vestigt (technische highlights)

In de op ScreenConnect gerichte keten deed het “workspace”-uitvoerbare bestand het volgende:

  • Kopieerde zichzelf naar C:\Program Files om eruit te zien als een legitiem geïnstalleerde applicatie.
  • Registreerde zichzelf als een Windows service voor opstartpersistentie.
  • Maakte een extra autorun aan via de Run key:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Waardenaam: TrustConnectAgent
    • Doel: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Maakte een uitgaande verbinding met infrastructuur van de aanvaller (met name trustconnectsoftware[.]com).
  • Gebruikte encoded PowerShell om aanvullende payloads te downloaden en riep msiexec.exe aan om ScreenConnect te installeren vanuit staged MSI-bestanden.

Microsoft merkte gevallen op waarin de MSI niet ondertekend leek, gevolgd door ScreenConnect-binaries die waren ondertekend met ingetrokken certificaten, een patroon dat vaak wordt geassocieerd met kwaadaardige of ongeautoriseerde uitrol.

Impact op IT-beheerders en eindgebruikers

  • Gebruikers worden aangevallen via routinematige workflows: deelnemen aan vergaderingen, facturen beoordelen en “verouderde” apps updaten.
  • IT- en securityteams kunnen aanvalleractiviteit zien opgaan in normale beheertools, omdat RMM-agents kunnen lijken op goedgekeurde remote support.
  • Het risico neemt toe na compromise: persistentie via services/autoruns plus RMM-tooling kan credential access, remote control en laterale verplaatsing versnellen.

Actiepunten / volgende stappen

  • Verhard software-installatiepaden: beperk waar mogelijk installaties die door gebruikers worden gestart; dwing allowlisting af (bijvoorbeeld WDAC/App Control) voor “installer-achtige” uitvoerbare bestanden.
  • Controleer RMM-gebruik: inventariseer goedgekeurde RMM-tools en blokkeer of alarmeer op ongeautoriseerde agents (ScreenConnect/Tactical RMM/Mesh) en verdachte servicecreatie.
  • Herzie vertrouwensbeslissingen rond code signing: beschouw “ondertekend” als een signaal—niet als bewijs. Voeg detectielogica toe voor nieuwe/zeldzame publishers en ongebruikelijke EV-ondertekende binaries.
  • Jaag op persistentie-indicatoren: zoek naar de TrustConnectAgent Run key, onverwachte services en verdachte patronen rond msiexec.exe plus encoded PowerShell.
  • Versterk phishingweerbaarheid: benadruk gebruikersrichtlijnen rond prompts als “update required” uit e-mail/PDF’s en gebruik Defender-bescherming om bijlagen en links te detoneren/inspecteren.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

CTI-REALM open-source benchmark voor AI-detectie

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.