Collecte des identifiants de super-administrateur de ScreenConnect

25 août 2025

Par Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast

Présentation de la campagne

Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast ont identifié une campagne de collecte d'identifiants (désignée sous le nom de MCTO3030) actuellement en cours, qui cible spécifiquement les administrateurs du service ScreenConnect dans le cloud. Cette opération sophistiquée a maintenu des tactiques, des techniques et des procédures constantes depuis 2022, faisant preuve d'une sécurité opérationnelle remarquable grâce à une distribution à faible volume qui lui a permis d'opérer sans être détectée pour l'essentiel.

Cette campagne utilise des e-mails de spear phishing envoyés via des comptes Amazon Simple Email Service (SES) et cible des professionnels chevronnés de l'informatique, notamment des directeurs, des responsables et des membres du personnel de sécurité disposant de privilèges élevés dans les environnements ScreenConnect. Les pirates recherchent tout particulièrement les identifiants de super-administrateur, qui leur permettent d'exercer un contrôle total sur l'infrastructure d'accès à distance de l'ensemble de l'entreprise.

Dès que l'utilisateur clique sur le bouton « Vérifier la sécurité », il est redirigé vers l'une des deux catégories de pages de Phishing suivantes :

Exemple 1

Exemple 2

Ce qui rend cette campagne particulièrement préoccupante, c'est son lien apparent avec des opérations de ransomware. Une étude de Sophos révèle que les affiliés du ransomware Qilin ciblent également ScreenConnect, ce qui laisse penser que ces activités de collecte d'identifiants servent de vecteurs d'accès initiaux pour le déploiement ultérieur du ransomware

Les identifiants de super-administrateur ainsi obtenus permettent aux attaquants de déployer simultanément des clients ou des instances ScreenConnect malveillants sur plusieurs terminaux, ce qui facilite les mouvements latéraux rapides et la diffusion de ransomware.

Le caractère persistant de cette campagne et son lien avec des opérations de Ransomware en font une menace importante pour les organisations qui s'appuient sur ScreenConnect pour la gestion de l'accès à distance. La combinaison de techniques AITM sophistiquées et d'une approche ciblée à l'égard des utilisateurs disposant de privilèges élevés nécessite une stratégie de défense à plusieurs niveaux, alliant contrôles techniques, sensibilisation des utilisateurs et surveillance proactive.

Infrastructure technique et tactiques

Les cybercriminels utilisent Amazon SES pour l'envoi d'e-mails en raison de ses taux de délivrabilité élevés, de son faible coût et de sa facilité de configuration. Ces comptes sont souvent créés à l'aide d'identifiants piratés ou vendus sur des marchés clandestins, ce qui permet aux pirates de contourner les contrôles de sécurité traditionnels des e-mails en passant par une infrastructure de confiance.

Les pages de Phishing recourent à des techniques sophistiquées de type « adversaire intermédiaire » (AITM) en utilisant le framework EvilGinx, un outil open source conçu pour intercepter à la fois les identifiants et les codes d'authentification multifactorielle (MFA). Cette fonctionnalité permet aux pirates de contourner les mesures de sécurité d'authentification modernes et de conserver un accès permanent aux comptes compromis.

L'infrastructure de domaines utilise des domaines de premier niveau nationaux (CCTLD) suivant des conventions de nommage inspirées de ScreenConnect, ce qui permet de créer des imitations très convaincantes de portails ConnectWise/ScreenConnect légitimes. L'utilisation systématique de ces schémas de dénomination sur plusieurs années témoigne d'un modèle opérationnel efficace que les auteurs de menaces continuent d'exploiter.

Flux de campagne

1. Premier contact :e-mails de spear phishing envoyés via des comptes Amazon SES piratés à des professionnels de l'informatique ciblés
2. Ingénierie sociale : des messages signalent une activité de connexion suspecte sur des comptes ScreenConnect provenant d'adresses IP ou de lieux inhabituels
3. Vol d'identifiants : les victimes sont redirigées vers de faux portails de connexion ScreenConnect hébergés sur des domaines de premier niveau nationaux (ccTLD)
4. Exploitation de l'AITM : le framework EvilGinx capture à la fois les noms d'utilisateur et les mots de passe, ainsi que les jetons d'authentification multifactorielle (MFA), en temps réel
5. Compromission de comptes : des pirates ont obtenu un accès complet aux comptes de super-administrateur de ScreenConnect
6. Mouvement latéral : des identifiants compromis sont utilisés pour déployer des outils d'accès supplémentaires ou des malware sur les terminaux gérés

Protection Mimecast

Mimecast a mis en place des capacités de détection ciblant spécifiquement les caractéristiques de cette campagne, notamment les schémas d'utilisation abusive d'Amazon SES, les indicateurs d'usurpation d'identité liés à ScreenConnect et les techniques de Phishing AITM. Notre équipe de recherche sur les menaces continue de surveiller l'évolution des tactiques et les changements d'infrastructure afin de garantir une protection complète.

Objectifs

Professionnels chevronnés de l'informatique, directeurs informatiques, administrateurs système et responsables de la sécurité disposant de droits de super-administrateur ScreenConnect, toutes régions et tous secteurs d'activité confondus.

Indicateurs de compromission (IOC)

Domaines

• connectwise.com.ar
• connectwise.com.be
• connectwise.com.cm
• connectwise.com.do
• connectwise.com.ec
• Divers autres noms de domaine liés à ScreenConnect utilisant des TLD nationaux

Caractéristiques des infrastructures

• Infrastructure d'envoi d'Amazon SES
• Kits de phishing basés sur EvilGinx
• Modèles de noms de domaine de premier niveau nationaux (ccTLD)
• Usurpation de l'identité des marques ConnectWise et ScreenConnect

Recommandations

Formation de sensibilisation des utilisateurs

• Organisez des formations ciblées à l'intention du personnel informatique sur les campagnes de Phishing liées à ScreenConnect
• Sensibilisez les utilisateurs aux techniques de Phishing de type AITM susceptibles de contourner l'authentification multifactorielle (MFA) traditionnelle
• Mettez en place des simulations régulières de Phishing intégrant des scénarios de connexion à ScreenConnect

Mesures techniques de sécurité

• Déployez des politiques d'accès conditionnel limitant l'accès administrateur à ScreenConnect aux appareils gérés par l'organisation
• Mettez en place des méthodes d'authentification multifactorielle (MFA) résistantes au phishing, telles que FIDO2/WebAuthn, pour les comptes ScreenConnect
• Activer la journalisation complète des événements d'authentification ScreenConnect et des activités d'administration
• Surveillez les activités d'administration inhabituelles, notamment les nouveaux déploiements de clients ou les modifications de configuration

Recherche proactive des menaces

• Recherchez dans les journaux d'e-mails les domaines correspondant à la liste des indicateurs de compromission (IOC) ou mentionnant ScreenConnect ou ConnectWise
• Surveillez les tentatives d'authentification sur les instances ScreenConnect provenant de plages d'adresses IP ou de zones géographiques inattendues
• Recherchez les noms de domaine respectant les modèles de TLD nationaux associés à cette campagne
• Vérifiez les journaux d'audit de l'administrateur de ScreenConnect afin de détecter d'éventuelles modifications non autorisées ou des déploiements de clients suspects

Renforcement de la sécurité des e-mails

• Identifiez l'utilisation d'Amazon SES au sein de l'organisation et tout au long de la chaîne d'approvisionnement afin de déterminer si les messages doivent être acceptés au niveau de la passerelle.
• Mettez en place une protection avancée des URL afin d'identifier et de bloquer l'infrastructure de Phishing AITM
• Il convient d'examiner avec une attention particulière  les e-mails faisant état d'incidents de sécurité ou d'anomalies de connexion