Mimecast Logo
Angebot einholen

    Erfassung von Super-Admin-Zugangsdaten bei ScreenConnect

    25. August 2025

    Von Samantha Clarke und dem Mimecast Threat Research Team

    Wichtige Punkte
    • Spear-Phishing-Angriff mit geringem Umfang, bei dem pro Kampagnenlauf bis zu 1.000 E-Mails versendet werden
    • Erster Zugriff im Hinblick auf einen möglichen Einsatz von Ransomware
    • Erfahrene IT-Fachkräfte und Administratoren mit Super-Admin-Rechten
    • „Adversary-in-the-Middle“ (AITM)-Phishing unter Verwendung des EvilGinx-Frameworks

    Kampagnenübersicht

    Samantha Clarke und das Mimecast Threat Research-Team haben eine andauernde Kampagne zum Diebstahl von Anmeldedaten (mit der Bezeichnung MCTO3030) identifiziert, die sich gezielt gegen ScreenConnect-Cloud-Administratoren richtet. Diese ausgeklügelte Organisation wendet seit 2022 durchgehend dieselben Taktiken, Techniken und Vorgehensweisen an und beweist damit bemerkenswerte operative Sicherheit durch den Vertrieb kleiner Mengen, wodurch sie weitgehend unentdeckt agieren konnte.

    Im Rahmen der Kampagne werden Spear-Phishing-E-Mails über Amazon Simple Email Service (SES)-Konten versendet, die sich an hochrangige IT-Fachkräfte richten, darunter Direktoren, Manager und Sicherheitsmitarbeiter mit erweiterten Berechtigungen in ScreenConnect-Umgebungen. Die Angreifer haben es gezielt auf Superadministrator-Zugangsdaten abgesehen, die ihnen umfassende Kontrolle über die Fernzugriffsinfrastruktur im gesamten Unternehmen verschaffen.

    Bildschirm: Benachrichtigung über neue Anmeldung.png

    Sobald der Benutzer auf die Schaltfläche „Sicherheit überprüfen“ klickt, wird er zu einer von zwei Arten von Phishing-Seiten weitergeleitet:

    Beispiel Nr. 1

    Screen Connect eg1.png

    Beispiel Nr. 2

    Screen Connect eg2.png

    Was diese Kampagne besonders besorgniserregend macht, ist ihr offensichtlicher Zusammenhang mit Ransomware-Angriffen. Untersuchungen von Sophos deuten darauf hin, dass auch Partner der Ransomware „Qilin“ ähnliche Angriffe auf ScreenConnect durchführen, was darauf hindeutet, dass diese Aktivitäten zum Sammeln von Anmeldedaten als erste Zugangswege für den anschließenden Einsatz von Ransomware dienen.

    Die erbeuteten Super-Admin-Zugangsdaten ermöglichen es Angreifern, bösartige ScreenConnect-Clients oder -Instanzen gleichzeitig auf mehrere Endpunkte zu übertragen, was eine schnelle laterale Bewegung und die Verbreitung von Ransomware erleichtert.

    Die Hartnäckigkeit dieser Kampagne und ihr Zusammenhang mit Ransomware-Angriffen machen sie zu einer erheblichen Bedrohung für Unternehmen, die ScreenConnect für die Fernzugriffsverwaltung nutzen. Die Kombination aus ausgefeilten AITM-Techniken und einem gezielten Ansatz gegenüber Benutzern mit weitreichenden Berechtigungen erfordert eine mehrschichtige Verteidigungsstrategie, die technische Kontrollmaßnahmen, Benutzerschulungen und proaktive Überwachung miteinander verbindet.

    Technische Infrastruktur und Taktik

    Die Angreifer nutzen Amazon SES für den E-Mail-Versand, da dieser Dienst hohe Zustellraten, niedrige Kosten und eine einfache Einrichtung bietet. Diese Konten werden häufig unter Verwendung gestohlener Zugangsdaten erstellt oder auf Schwarzmärkten verkauft, wodurch Angreifer in der Lage sind, herkömmliche E-Mail-Sicherheitskontrollen über vertrauenswürdige Infrastrukturen zu umgehen.

    Die Phishing-Seiten nutzen ausgefeilte „Adversary-in-the-Middle“ (AITM)-Techniken unter Verwendung des EvilGinx-Frameworks, eines Open-Source-Tools, das darauf ausgelegt ist, sowohl Anmeldedaten als auch Codes für die Multi-Faktor-Authentifizierung (MFA) abzufangen. Diese Funktion ermöglicht es den Angreifern, moderne Authentifizierungsmaßnahmen zu umgehen und sich dauerhaft Zugang zu kompromittierten Konten zu sichern.

    Die Domain-Infrastruktur nutzt länderspezifische Top-Level-Domains (CCTLDs) mit Namenskonventionen im ScreenConnect-Stil, wodurch überzeugende Fälschungen legitimer ConnectWise-/ScreenConnect-Portale entstehen. Die konsequente Anwendung dieser Namensmuster über mehrere Jahre hinweg zeugt von einem erfolgreichen Betriebsmodell, das die Angreifer weiterhin ausnutzen.

    Ablauf der Kampagne

    1. Erster Kontakt:Spear-Phishing-E-Mails,die über kompromittierte Amazon-SES-Konten an gezielt ausgewählte IT-Fachkräfte versendet wurden
    2. Social Engineering: In Nachrichten wird behauptet, dass bei ScreenConnect-Konten verdächtige Anmeldeaktivitäten von ungewöhnlichen IP-Adressen oder Standorten aus festgestellt wurden
    3. Erfassung von Anmeldedaten: Die Opfer werden auf gefälschte ScreenConnect-Anmeldeportale weitergeleitet, die auf Domains mit Ländercode-TLDs gehostet werden
    4. AITM-Exploit: Das „EvilGinx“-Framework erfasst sowohl Benutzernamen und Passwörter als auch MFA-Token in Echtzeit
    5. Konto-Hack: Angreifer erlangen uneingeschränkten Zugriff auf Super-Admin-Konten bei ScreenConnect
    6. Seitliche Bewegung: Kompromittierte Anmeldedaten werden genutzt, um zusätzliche Zugriffstools oder Malware auf den verwalteten Endgeräten zu installieren

    Mimecast-Schutz

    Mimecast hat Erkennungsfunktionen implementiert, die speziell auf die Merkmale dieser Kampagne ausgerichtet sind, darunter Missbrauchsmuster bei Amazon SES, Indikatoren für die Identitätsfälschung bei ScreenConnect sowie AITM-Phishing-Techniken. Unser Team für Bedrohungsforschung beobachtet weiterhin taktische Entwicklungen und Änderungen an der Infrastruktur, um einen umfassenden Schutz zu gewährleisten.

    Ziele

    Erfahrene IT-Fachkräfte, IT-Leiter, Systemadministratoren und Sicherheitsmitarbeiter mit ScreenConnect-Superadministratorrechten aus allen Regionen und Branchen.

    Indikatoren für eine Kompromittierung (IOCs)

    Domains

    • connectwise.com.ar
    • connectwise.com.be
    • connectwise.com.cm
    • connectwise.com.do
    • connectwise.com.ec
    • Verschiedene weitere Domains zum Thema „ScreenConnect“, die Ländercode-TLDs verwenden

    Merkmale der Infrastruktur

    • Amazon SES-Versandinfrastruktur
    • Auf EvilGinx basierende Phishing-Kits
    • Muster für Ländercode-TLDs
    • Missbrauch der Marken ConnectWise und ScreenConnect

    Empfehlungen

    Schulung zur Sensibilisierung der Nutzer

    • Führen Sie gezielte Schulungen für IT-Mitarbeiter zu Phishing-Kampagnen durch, die sich auf ScreenConnect beziehen
    • Informieren Sie die Nutzer über AITM-Phishing-Techniken, mit denen herkömmliche MFA-Verfahren umgangen werden können
    • Führen Sie regelmäßig Phishing-Simulationen durch, die Anmeldeszenarien mit ScreenConnect beinhalten

    Technische Sicherheitsmaßnahmen

    • Richten Sie Richtlinien für den bedingten Zugriff ein, die den ScreenConnect-Administratorzugriff auf von der Organisation verwaltete Geräte einschränken
    • Führen Sie phishing-resistente MFA-Verfahren wie FIDO2/WebAuthn für ScreenConnect-Konten ein
    • Aktivieren Sie die umfassende Protokollierung von ScreenConnect-Authentifizierungsereignissen und Administratoraktivitäten
    • Überwachen Sie ungewöhnliche Administratoraktivitäten, einschließlich neuer Client-Bereitstellungen oder Konfigurationsänderungen

    Proaktive Bedrohungssuche

    • Durchsuchen Sie die E-Mail-Protokolle nach Domänen, die mit der IOC-Liste übereinstimmen oder in denen „ScreenConnect“ oder „ConnectWise“ erwähnt wird
    • Überwachen Sie Authentifizierungsversuche bei ScreenConnect-Instanzen aus unerwarteten IP-Bereichen oder geografischen Standorten
    • Suchen Sie nach Domains, die den mit dieser Kampagne verbundenen Mustern für Ländercode-TLDs entsprechen
    • Überprüfen Sie die Administrator-Prüfprotokolle von ScreenConnect auf unbefugte Änderungen oder verdächtige Client-Bereitstellungen

    Verbesserung der E-Mail-Sicherheit

    • Ermitteln Sie die Nutzung von Amazon SES innerhalb des Unternehmens sowie entlang der Lieferkette, um festzustellen, ob Nachrichten am Gateway akzeptiert werden sollen.
    • Implementieren Sie einen erweiterten URL-Schutz, um die Phishing-Infrastruktur von AITM zu identifizieren und zu blockieren
    • Prüfen Sie E-Mails, in denen von Sicherheitsvorfällen oder Anomalien bei der Anmeldung die Rede ist, besonders sorgfältig.
    Zurück zum Anfang