Security

Phishing z EV instaluje ScreenConnect i backdoory RMM

3 min czytania

Podsumowanie

Microsoft Defender Experts opisali kampanie phishingowe, w których atakujący podszywają się pod narzędzia do pracy i dokumentów, dostarczając fałszywe instalatory podpisane certyfikatami EV, aby zwiększyć wiarygodność i skuteczność infekcji. To ważne, bo po uruchomieniu takich plików ofiary mogą nieświadomie zainstalować ScreenConnect i inne narzędzia RMM/backdoory, dając napastnikom trwały zdalny dostęp do firmowych środowisk.

Potrzebujesz pomocy z Security?Porozmawiaj z ekspertem

Wprowadzenie: dlaczego to ma znaczenie

Aktorzy zagrożeń coraz częściej wtapiają się w legalne operacje IT, wdrażając komercyjnie dostępne narzędzia Remote Monitoring and Management (RMM). Ta kampania podnosi poprzeczkę jeszcze wyżej, wykorzystując znajomy branding „aplikacji do pracy” oraz podpisywanie kodu EV, aby ograniczyć podejrzliwość użytkowników i zwiększyć skuteczność uruchomień — co czyni ją praktyczną ścieżką initial access w przedsiębiorstwach, gdzie użytkownicy rutynowo instalują oprogramowanie do spotkań i pracy z dokumentami.

Co nowego / kluczowe ustalenia

Microsoft Defender Experts zaobserwowali wiele kampanii phishingowych przypisywanych niezidentyfikowanemu aktorowi zagrożeń. Kluczowe cechy obejmują:

  • Przynęty związane ze spotkaniami i dokumentami: Wiadomości e-mail podszywały się pod zaproszenia na spotkania (Teams/Zoom/Google Meet), faktury, dokumenty finansowe, oferty oraz powiadomienia organizacyjne.
  • Podrobione pliki PDF i fałszywe strony pobierania: Niektóre wiadomości dostarczały fałszywe pliki PDF z przyciskiem „Open in Adobe”, który przekierowywał użytkowników do łudząco podobnej strony pobierania Adobe zachęcającej do „aktualizacji”.
  • Pliki wykonywalne podszywające się pod legalne: Ładunki miały nazwy przypominające zaufane instalatory, w tym msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe oraz trustconnectagent.exe.
  • Nadużycie zaufania poprzez podpis EV: Droppery były cyfrowo podpisane certyfikatem EV wydanym dla TrustConnect Software PTY LTD, co pomagało im wyglądać na legalne.
  • Wdrożenie backdoora RMM: Uruchomienie prowadziło do instalacji narzędzi RMM, takich jak ScreenConnect, Tactical RMM i Mesh Agent, umożliwiając trwały zdalny dostęp.

Jak intruzja ustanawia trwałość (najważniejsze aspekty techniczne)

W łańcuchu skoncentrowanym na ScreenConnect plik wykonywalny „workspace”:

  • Kopiował siebie do C:\Program Files, aby wyglądać jak legalnie zainstalowana aplikacja.
  • Rejestrował się jako usługa Windows w celu zapewnienia trwałości przy uruchamianiu.
  • Tworzył dodatkowy mechanizm autorun za pomocą klucza Run:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Nazwa wartości: TrustConnectAgent
    • Cel: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Nawiązywał połączenia wychodzące z infrastrukturą atakującego (w szczególności trustconnectsoftware[.]com).
  • Używał zakodowanego PowerShell do pobierania dodatkowych ładunków i wywoływał msiexec.exe w celu zainstalowania ScreenConnect z przygotowanych plików MSI.

Microsoft odnotował przypadki, w których plik MSI wyglądał na niepodpisany, po czym następowały pliki binarne ScreenConnect podpisane unieważnionymi certyfikatami — jest to wzorzec powszechnie kojarzony ze złośliwym lub nieautoryzowanym wdrożeniem.

Wpływ na administratorów IT i użytkowników końcowych

  • Użytkownicy są atakowani poprzez rutynowe przepływy pracy: dołączanie do spotkań, przeglądanie faktur i aktualizowanie „nieaktualnych” aplikacji.
  • Zespoły IT i bezpieczeństwa mogą zauważyć, że aktywność atakującego miesza się z normalnymi narzędziami administracyjnymi, ponieważ agenty RMM mogą przypominać zatwierdzone narzędzia zdalnego wsparcia.
  • Ryzyko rośnie po kompromitacji: trwałość poprzez usługi/autorun oraz narzędzia RMM mogą przyspieszyć dostęp do poświadczeń, zdalną kontrolę i ruch boczny.

Działania / kolejne kroki

  • Wzmocnij ścieżki instalacji oprogramowania: tam, gdzie to możliwe, ogranicz instalacje inicjowane przez użytkowników; wymuszaj allowlisting (np. WDAC/App Control) dla plików wykonywalnych przypominających instalatory.
  • Audytuj użycie RMM: zinwentaryzuj zatwierdzone narzędzia RMM oraz blokuj lub generuj alerty dla nieautoryzowanych agentów (ScreenConnect/Tactical RMM/Mesh) i podejrzanego tworzenia usług.
  • Zweryfikuj decyzje oparte na zaufaniu do podpisu kodu: traktuj „signed” jako sygnał — nie dowód. Dodaj logikę detekcji dla nowych/rzadkich wydawców i nietypowych plików binarnych podpisanych EV.
  • Poluj na wskaźniki trwałości: szukaj klucza Run TrustConnectAgent, nieoczekiwanych usług oraz podejrzanych wzorców msiexec.exe i zakodowanego PowerShell.
  • Wzmocnij odporność na phishing: przypominaj użytkownikom o ostrożności wobec monitów „wymagana aktualizacja” pochodzących z e-maili/PDF oraz używaj zabezpieczeń Defender do detonacji/inspekcji załączników i linków.

Potrzebujesz pomocy z Security?

Nasi eksperci pomogą Ci wdrożyć i zoptymalizować rozwiązania Microsoft.

Porozmawiaj z ekspertem

Bądź na bieżąco z technologiami Microsoft

Przeczytaj oryginalny artykuł autorstwa Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Powiązane artykuły

Security

Kompromitacja łańcucha dostaw Trivy: wskazówki Defender

Microsoft opublikował wskazówki dotyczące wykrywania, badania i ograniczania skutków kompromitacji łańcucha dostaw Trivy z marca 2026 r., która dotknęła binarkę Trivy i powiązane GitHub Actions. Incydent jest istotny, ponieważ wykorzystał zaufane narzędzia bezpieczeństwa CI/CD do kradzieży poświadczeń z potoków buildów, środowisk chmurowych i systemów deweloperskich, jednocześnie pozornie działając normalnie.

Security

Governance AI agentów: zgodność intencji i bezpieczeństwo

Microsoft przedstawia model governance dla AI agents, który łączy intencje użytkownika, dewelopera, role-based oraz organizacji. Framework pomaga firmom utrzymać agentów jako użytecznych, bezpiecznych i zgodnych z wymaganiami, definiując granice zachowań oraz jasną hierarchię priorytetów w razie konfliktów.

Security

{{Microsoft Defender predictive shielding blokuje GPO ransomware}}

{{Microsoft opisał rzeczywisty przypadek ransomware, w którym predictive shielding w Defender wykrył złośliwe nadużycie Group Policy Object jeszcze przed rozpoczęciem szyfrowania. Dzięki wzmocnieniu propagacji GPO i zakłóceniu działania przejętych kont Defender zablokował około 97% prób szyfrowania i nie dopuścił do zaszyfrowania żadnych urządzeń przez ścieżkę dostarczania opartą na GPO.}}

Security

Zabezpieczenia agentic AI od Microsoft na RSAC 2026

Microsoft na RSAC 2026 zaprezentował strategię zabezpieczania agentic AI w firmach, obejmującą ochronę agentów, tożsamości, danych i infrastruktury, a także potwierdził premierę Agent 365 w modelu general availability od 1 maja. To ważne, bo wraz z rosnącym wdrożeniem AI w przedsiębiorstwach organizacje potrzebują narzędzi do centralnego zarządzania ryzykiem, wykrywania nieautoryzowanego użycia AI i ograniczania nadmiernego udostępniania danych.

Security

CTI-REALM open source: benchmark AI do detekcji

Microsoft udostępnił open source benchmark CTI-REALM, który sprawdza, czy agenci AI potrafią wykonywać realną pracę z obszaru inżynierii detekcji — od analizy raportów threat intelligence po tworzenie i walidację reguł detekcji. To ważne dla zespołów SOC i bezpieczeństwa, ponieważ zamiast mierzyć wyłącznie wiedzę modelu, narzędzie ocenia jego skuteczność w praktycznych zadaniach operacyjnych w środowiskach takich jak Linux, AKS i chmura Azure.

Security

Zero Trust for AI od Microsoft: warsztaty i ocena

Microsoft wprowadza wytyczne Zero Trust for AI, które przenoszą zasady Zero Trust na modele, agentów, dane i zautomatyzowane decyzje, aby pomóc firmom bezpiecznie wdrażać AI. Firma rozszerzyła też Zero Trust Workshop o dedykowany filar AI oraz rozbudowane oceny i kontrolki, co ma ułatwić zespołom IT i bezpieczeństwa identyfikację ryzyk takich jak prompt injection czy data poisoning oraz lepsze planowanie zabezpieczeń.