Security

EV potpisani instaleri šire ScreenConnect backdoor

3 min čitanja

Sažetak

Microsoft je otkrio phishing kampanje u kojima napadači koriste lažne pozive na sastanke, fakture i dokumente kako bi naveli korisnike da preuzmu izvršne fajlove maskirane kao legitimni instaleri, uključujući ScreenConnect backdoor. Posebno zabrinjava to što su dropperi potpisani EV sertifikatom kompanije TrustConnect Software PTY LTD, jer takvo potpisivanje povećava kredibilitet malvera i olakšava početni pristup poslovnim okruženjima gde je instalacija ovakvih alata uobičajena.

Trebate pomoć sa Security?Razgovarajte sa stručnjakom

Uvod: zašto je ovo važno

Threat actor-i sve češće „nestaju u masi” legitimnih IT operacija primenom komercijalno dostupnih Remote Monitoring and Management (RMM) alata. Ova kampanja podiže lestvicu dodatno koristeći prepoznatljiv brending „workplace app” aplikacija i EV code signing kako bi smanjila sumnju korisnika i povećala stopu izvršavanja—što je čini praktičnim putem za initial access u preduzećima gde korisnici rutinski instaliraju softver za sastanke i dokumente.

Šta je novo / ključni nalazi

Microsoft Defender Experts su uočili više phishing kampanja pripisanih neidentifikovanom threat actor-u. Ključne karakteristike uključuju:

  • Mamci vezani za sastanke i dokumente: Email poruke su se lažno predstavljale kao pozivi na sastanke (Teams/Zoom/Google Meet), fakture, finansijski dokumenti, ponude i organizaciona obaveštenja.
  • Lažni PDF-ovi i spoofed stranice za preuzimanje: Neke poruke su isporučivale lažne PDF-ove sa dugmetom „Open in Adobe” koje je preusmeravalo korisnike na lookalike Adobe sajt za preuzimanje koji je tražio „update.”
  • Izvršne datoteke koje se predstavljaju kao legitimne: Payload-ovi su dobijali nazive koji liče na pouzdane instalere, uključujući msteams.exe, adobereader.exe, zoomworkspace.clientsetup.exe, invite.exe i trustconnectagent.exe.
  • Zloupotreba poverenja kroz EV potpisivanje: Dropperi su bili digitalno potpisani EV sertifikatom izdatim za TrustConnect Software PTY LTD, što im je pomagalo da deluju legitimno.
  • Implementacija RMM backdoor-a: Izvršavanje je dovodilo do instalacije RMM alata kao što su ScreenConnect, Tactical RMM i Mesh Agent, omogućavajući postojan remote access.

Kako upad uspostavlja postojanost (tehnički naglasci)

U lancu fokusiranom na ScreenConnect, „workspace” izvršna datoteka:

  • Kopirala je samu sebe u C:\Program Files kako bi izgledala kao legitimno instalirana aplikacija.
  • Registrovala se kao Windows service radi startup persistence.
  • Kreirala dodatni autorun putem Run key:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • Naziv vrednosti: TrustConnectAgent
    • Target: C:\Program Files\Adobe Acrobat Reader\AdobeReader.exe
  • Uspostavljala outbound konekciju ka infrastrukturi napadača (posebno trustconnectsoftware[.]com).
  • Koristila encoded PowerShell za preuzimanje dodatnih payload-ova i pozivala msiexec.exe da instalira ScreenConnect iz staged MSI fajlova.

Microsoft je naveo slučajeve u kojima je MSI delovao nepotpisano, nakon čega su ScreenConnect binariji bili potpisani revoked sertifikatima, obrazac koji se često povezuje sa zlonamernim ili neovlašćenim deployment-om.

Uticaj na IT administratore i krajnje korisnike

  • Korisnici su ciljani kroz rutinske tokove rada: pridruživanje sastancima, pregled faktura i ažuriranje „out-of-date” aplikacija.
  • IT i security timovi mogu videti kako se aktivnost napadača stapa sa uobičajenim admin tooling-om, jer RMM agenti mogu ličiti na odobrenu remote support podršku.
  • Rizik raste nakon kompromitovanja: postojanost putem servisa/autorun-a i RMM tooling-a može ubrzati pristup kredencijalima, remote control i lateral movement.

Preporučene radnje / sledeći koraci

  • Ojačajte putanje instalacije softvera: gde je izvodljivo, ograničite instalacije koje pokreću korisnici; primenite allowlisting (npr. WDAC/App Control) za izvršne datoteke koje „liče na instalere.”
  • Audit RMM upotrebe: napravite inventar odobrenih RMM alata i blokirajte ili generišite upozorenja za neautorizovane agente (ScreenConnect/Tactical RMM/Mesh) i sumnjivo kreiranje servisa.
  • Preispitajte odluke o poverenju u code-signing: „potpisano” tretirajte kao signal—ne kao dokaz. Dodajte detekcionu logiku za nove/retke publishere i neuobičajene EV-potpisane binarije.
  • Hunt za indikatorima postojanosti: tražite TrustConnectAgent Run key, neočekivane servise i sumnjive obrasce msiexec.exe plus encoded PowerShell.
  • Ojačajte otpornost na phishing: pojačajte smernice za korisnike u vezi sa prompt-ovima „update required” koji dolaze iz email/PDF-ova i koristite Defender zaštite za detoniranje/inspekciju priloga i linkova.

Trebate pomoć sa Security?

Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.

Razgovarajte sa stručnjakom

Budite u toku sa Microsoft tehnologijama

Pročitajte originalni članak od Microsoft Defender Security Research Team
Microsoft DefenderphishingRMMScreenConnectcode signing

Povezani članci

Security

Trivy kompromitacija lanca snabdevanja: Defender

Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.

Security

Upravljanje AI agentima: usklađivanje namere

Microsoft predstavlja model upravljanja za AI agente koji usklađuje korisničku, razvojnu, ulogama zasnovanu i organizacionu nameru. Ovaj okvir pomaže preduzećima da agente održe korisnim, bezbednim i usklađenim tako što definiše granice ponašanja i jasan redosled prioriteta kada dođe do konflikta.

Security

Defender predictive shielding zaustavlja GPO ransomware

Microsoft je opisao stvarni slučaj ransomware napada u kome je Defender predictive shielding otkrio zloupotrebu Group Policy Object (GPO) mehanizama pre početka enkripcije. Ojačavanjem propagacije GPO-a i prekidanjem kompromitovanih naloga, Defender je blokirao oko 97% pokušaja enkripcije i sprečio da bilo koji uređaj bude šifrovan putem GPO kanala isporuke.

Security

Microsoft agentic AI bezbednost na RSAC 2026

Microsoft je na RSAC 2026 predstavio sveobuhvatnu strategiju za bezbednost agentic AI sistema, uključujući skoru opštu dostupnost platforme Agent 365 od 1. maja, uz integraciju sa Defender, Entra i Purview alatima za upravljanje, zaštitu pristupa i sprečavanje prekomernog deljenja podataka. Ovo je važno jer kompanijama donosi bolju vidljivost AI rizika, otkrivanje neovlašćene upotrebe AI aplikacija i jaču zaštitu identiteta i podataka kako se AI agenti sve brže uvode u poslovna okruženja.

Security

Microsoft CTI-REALM open-source benchmark za AI detekciju

Microsoft je predstavio CTI-REALM, open-source benchmark koji proverava da li AI agenti mogu da obavljaju stvaran detection engineering posao, od analize threat intelligence izveštaja do pravljenja i validacije detekcionih pravila. To je važno za SOC i bezbednosne timove jer pomera procenu AI alata sa teorijskog cyber znanja na merljive operativne rezultate u realnim okruženjima poput Linux endpointa, AKS-a i Azure infrastrukture.

Security

Microsoft Zero Trust za AI: radionica i arhitektura

Microsoft je predstavio smernice „Zero Trust for AI“ i proširio svoj Zero Trust Workshop namenskim AI stubom, kako bi organizacije lakše procenile i uvele bezbednosne kontrole za modele, agente, podatke i automatizovane odluke. Ovo je važno jer kompanijama daje strukturisan okvir za zaštitu od rizika kao što su prompt injection, data poisoning i preširoka ovlašćenja, uz bolju usklađenost bezbednosnih, IT i poslovnih timova.