Acquisizione delle credenziali di superamministratore di ScreenConnect

25 agosto 2025

Di Samantha Clarke e del team di ricerca sulle minacce di Mimecast

Panoramica della campagna

Samantha Clarke e il team di ricerca sulle minacce di Mimecast hanno individuato una campagna in corso volta al furto di credenziali (denominata MCTO3030) che prende di mira specificatamente gli amministratori del servizio cloud ScreenConnect. Questa sofisticata organizzazione ha mantenuto tattiche, tecniche e procedure costanti sin dal 2022, dimostrando una notevole sicurezza operativa grazie a una distribuzione su piccola scala che le ha consentito di operare in gran parte senza essere individuata.

La campagna si avvale di e-mail di spear phishing inviate tramite account Amazon Simple Email Service (SES) e prende di mira professionisti senior del settore IT, tra cui direttori, responsabili e addetti alla sicurezza con privilegi elevati negli ambienti ScreenConnect. Gli autori degli attacchi cercano in particolare le credenziali di superamministratore, che consentono un controllo completo sull’infrastruttura di accesso remoto a livello dell’intera organizzazione.

Non appena l'utente fa clic sul pulsante "Verifica sicurezza", viene reindirizzato a una delle due tipologie di pagine di phishing:

Esempio numero 1

Esempio numero 2

Ciò che rende questa campagna particolarmente preoccupante è il suo evidente collegamento con operazioni di ransomware. Una ricerca condotta da Sophos evidenzia un attacco simile a ScreenConnect da parte di affiliati del ransomware Qilin, il che suggerisce che tali attività di raccolta delle credenziali fungano da vettori di accesso iniziali per la successiva diffusione del ransomware

Le credenziali di superamministratore ottenute consentono agli autori degli attacchi di distribuire contemporaneamente client o istanze dannose di ScreenConnect su più endpoint, facilitando così un rapido spostamento laterale e la diffusione del ransomware.

La natura persistente di questa campagna e il suo legame con le operazioni di ransomware la rendono una minaccia significativa per le organizzazioni che si affidano a ScreenConnect per la gestione dell’accesso remoto. La combinazione di sofisticate tecniche AITM e di un approccio mirato nei confronti degli utenti con privilegi elevati richiede una strategia difensiva a più livelli che integri controlli tecnici, formazione degli utenti e monitoraggio proattivo.

Infrastruttura tecnica e tattiche

Gli autori delle minacce utilizzano Amazon SES per la distribuzione delle e-mail grazie ai suoi elevati tassi di consegna, ai costi contenuti e alla facilità di configurazione. Tali account vengono spesso creati utilizzando credenziali compromesse o venduti sui mercati clandestini, consentendo agli autori degli attacchi di aggirare i tradizionali controlli di sicurezza della posta elettronica attraverso infrastrutture affidabili.

Le pagine di phishing utilizzano sofisticate tecniche di tipo “adversary-in-the-middle” (AITM) basate sul framework EvilGinx, uno strumento open source progettato per intercettare sia le credenziali che i codici di autenticazione a più fattori (MFA). Questa funzionalità consente agli autori degli attacchi di aggirare i moderni sistemi di protezione dell'autenticazione e di mantenere un accesso persistente agli account compromessi.

L'infrastruttura dei domini utilizza domini di primo livello nazionali (CCTLD) con convenzioni di denominazione ispirate a ScreenConnect, creando imitazioni molto realistiche dei portali legittimi di ConnectWise/ScreenConnect. L'uso costante di questi schemi di denominazione nel corso di diversi anni dimostra l'efficacia di un modello operativo che gli autori delle minacce continuano a sfruttare.

Flusso della campagna

1. Primo contatto:e-mail di spear phishing inviate tramite account Amazon SES compromessi a professionisti IT selezionati
2. Ingegneria sociale: alcuni messaggi segnalano attività di accesso sospette agli account ScreenConnect provenienti da indirizzi IP o località insolite
3. Acquisizione delle credenziali: le vittime vengono reindirizzate verso portali di accesso fasulli di ScreenConnect ospitati su domini con codice paese (TLD)
4. Sfruttamento dell’AITM: il framework EvilGinx intercetta in tempo reale sia nomi utente e password che token MFA
5. Compromissione degli account: gli autori degli attacchi ottengono pieno accesso agli account di superamministratore di ScreenConnect
6. Movimento laterale: credenziali compromesse utilizzate per distribuire ulteriori strumenti di accesso o malware sugli endpoint gestiti

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento mirate specificatamente alle caratteristiche di questa campagna, tra cui i modelli di abuso di Amazon SES, gli indicatori di usurpazione di identità relativi a ScreenConnect e le tecniche di phishing AITM. Il nostro team di ricerca sulle minacce continua a monitorare l’evoluzione delle tattiche e i cambiamenti nell’infrastruttura per garantire una protezione completa.

Obiettivi

Professionisti senior del settore IT, direttori IT, amministratori di sistema e personale addetto alla sicurezza in possesso di privilegi di superamministratore di ScreenConnect in tutte le regioni e in tutti i settori.

Indicatori di compromissione (IOC)

Domini

• connectwise.com.ar
• connectwise.com.be
• connectwise.com.cm
• connectwise.com.do
• connectwise.com.ec
• Vari altri domini relativi a ScreenConnect che utilizzano TLD con codice paese

Caratteristiche delle infrastrutture

• Infrastruttura di invio di Amazon SES
• Kit di phishing basati su EvilGinx
• Modelli di domini TLD con codice paese
• Usurpazione del marchio ConnectWise/ScreenConnect

Raccomandazioni

Formazione sulla sensibilizzazione degli utenti

• Organizzare corsi di formazione mirati per il personale IT sulle campagne di phishing incentrate su ScreenConnect
• Informare gli utenti sulle tecniche di phishing AITM in grado di aggirare l’autenticazione a più fattori (MFA) tradizionale
• Effettuare simulazioni periodiche di phishing che includano scenari di accesso tramite ScreenConnect

Controlli tecnici di sicurezza

• Implementare criteri di accesso condizionato che limitino l'accesso amministrativo a ScreenConnect ai dispositivi gestiti dall'organizzazione
• Implementare metodi di autenticazione a più fattori (MFA) resistenti al phishing, quali FIDO2/WebAuthn, per gli account ScreenConnect
• Attivare la registrazione completa degli eventi di autenticazione di ScreenConnect e delle attività amministrative
• Monitorare eventuali attività amministrative insolite, tra cui nuove implementazioni di client o modifiche alla configurazione

Ricerca proattiva delle minacce

• Effettuare una ricerca nei registri delle e-mail per individuare i domini che corrispondono all’elenco degli IOC o che menzionano ScreenConnect o ConnectWise
• Monitorare i tentativi di autenticazione alle istanze di ScreenConnect provenienti da intervalli IP o aree geografiche inattesi
• Cercate i domini che seguono gli schemi dei TLD con codice paese associati a questa campagna
• Si prega di verificare i registri di audit dell'amministratore di ScreenConnect per individuare eventuali modifiche non autorizzate o installazioni sospette da parte dei clienti

Miglioramento della sicurezza della posta elettronica

• Individuare l’utilizzo di Amazon SES all’interno dell’organizzazione e lungo la catena di fornitura per stabilire se i messaggi debbano essere accettati dal gateway.
• Implementare una protezione avanzata degli URL per identificare e bloccare l'infrastruttura di phishing AITM
• Si raccomanda di prestare maggiore attenzione  alle e-mail che segnalano incidenti di sicurezza o anomalie nell'accesso