Security

EV-подписанные фишинговые установщики ставят RMM-бэкдоры

3 мин. чтения

Кратко

Microsoft Defender Experts выявили фишинговые кампании, в которых злоумышленники распространяют вредоносные установщики под видом Teams, Zoom и Adobe, используя поддельные страницы загрузки и EV-подпись для повышения доверия. Это особенно опасно для компаний, потому что такие файлы выглядят как легитимное рабочее ПО и могут незаметно установить RMM-бэкдоры, открывая атакующим путь к удаленному доступу в корпоративную среду.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

Злоумышленники все чаще маскируются под легитимные IT-операции, разворачивая коммерчески доступные инструменты Remote Monitoring and Management (RMM). Эта кампания поднимает планку еще выше: она использует узнаваемый брендинг «рабочих приложений» и EV code signing, чтобы снизить подозрения пользователей и повысить долю успешных запусков — превращая это в практичный путь первичного доступа в организациях, где пользователи регулярно устанавливают ПО для встреч и работы с документами.

Что нового / ключевые выводы

Microsoft Defender Experts наблюдали несколько фишинговых кампаний, приписываемых неустановленному злоумышленнику. Ключевые характеристики:

  • Приманки про встречи и документы: письма маскировались под приглашения на встречи (Teams/Zoom/Google Meet), счета, финансовые документы, тендерные предложения и организационные уведомления.
  • Поддельные PDF и подмененные страницы загрузки: часть сообщений доставляла фальшивые PDF с кнопкой «Open in Adobe», которая перенаправляла пользователей на поддельный сайт загрузки Adobe с предложением «обновления».
  • Маскирующиеся исполняемые файлы: полезные нагрузки получали имена, похожие на доверенные установщики, включая msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe и trustconnectagent.exe.
  • Злоупотребление доверием через EV-подпись: дропперы были цифрово подписаны EV-сертификатом, выданным на TrustConnect Software PTY LTD, что помогало им выглядеть легитимными.
  • Развертывание RMM-бэкдора: выполнение приводило к установке RMM-инструментов, таких как ScreenConnect, Tactical RMM и Mesh Agent, обеспечивая постоянный удаленный доступ.

Как вторжение закрепляется (технические детали)

В цепочке, ориентированной на ScreenConnect, исполняемый файл «workspace»:

  • Копировал себя в C:\Program Files, чтобы выглядеть как легитимное установленное приложение.
  • Регистрировал себя как службу Windows для закрепления при запуске.
  • Создавал дополнительный автозапуск через ключ Run:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Имя значения: TrustConnectAgent
    • Цель: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Устанавливал исходящие соединения с инфраструктурой атакующего (в частности trustconnectsoftware[.]com).
  • Использовал закодированный PowerShell для загрузки дополнительных полезных нагрузок и вызывал msiexec.exe для установки ScreenConnect из подготовленных MSI-файлов.

Microsoft отмечала случаи, когда MSI выглядел неподписанным, а затем бинарные файлы ScreenConnect оказывались подписаны отозванными сертификатами — это типичный паттерн, связанный с вредоносным или несанкционированным развертыванием.

Влияние на IT-администраторов и конечных пользователей

  • Пользователи становятся целью через рутинные сценарии: участие во встречах, просмотр счетов и обновление «устаревших» приложений.
  • IT- и security-команды могут видеть, как активность атакующего смешивается с обычными административными инструментами, поскольку RMM-агенты способны выглядеть как санкционированная удаленная поддержка.
  • Риски растут после компрометации: закрепление через службы/автозапуск плюс RMM-инструменты могут ускорить получение учетных данных, удаленный контроль и латеральное перемещение.

Рекомендуемые действия / следующие шаги

  • Ужесточите пути установки ПО: где возможно, ограничьте установки по инициативе пользователя; применяйте allowlisting (например, WDAC/App Control) для «похожих на установщики» исполняемых файлов.
  • Проведите аудит использования RMM: инвентаризируйте утвержденные RMM-инструменты и блокируйте либо поднимайте оповещения по несанкционированным агентам (ScreenConnect/Tactical RMM/Mesh) и подозрительному созданию служб.
  • Пересмотрите доверие к решениям на основе подписи кода: воспринимайте «signed» как сигнал, а не доказательство. Добавьте детектирование новых/редких издателей и необычных EV-подписанных бинарных файлов.
  • Проведите охоту за индикаторами закрепления: ищите Run-ключ TrustConnectAgent, неожиданные службы и подозрительные паттерны msiexec.exe вместе с закодированным PowerShell.
  • Укрепите устойчивость к фишингу: усилите рекомендации пользователям по поводу подсказок «требуется обновление» из email/PDF и используйте защиты Defender для детонации/проверки вложений и ссылок.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.