Cybercriminelen kapen de legitieme RMM-tool ConnectWise ScreenConnect door middel van geavanceerde phishing-e-mails die Teams of Zoom nadeon. Meer dan 900 organisaties in het onderwijs, de gezondheidszorg en de financiële dienstverlening zijn het doelwit van deze voortdurende campagne, waarbij verkopers op het dark web nu kant-en-klare aanvalskits verkopen.
Dat blijkt uit een rapport van Abnormal AI. De campagne maakt gebruik van AI-gegenereerde phishingpagina’s en gehackte e-mailaccounts om ScreenConnect-installaties te leveren zonder dat gebruikers dit merken. Aanvallers laten het lijken alsof vertrouwde platforms zoals Zoom en Microsoft Teams een e-mail hebben gestuurd. Deze berichten zijn lokmiddelen vermomd als voorbereidingen voor het belastingseizoen en uitnodigingen voor vergaderingen.
Ontvangers die op kwaadaardige links klikken, worden omgeleid via meerdere versluikte wegen. Deze omvatten SendGrid-domeinwrapping, open redirect-exploits en Cloudflare Workers-hosting met base64-gesegmenteerde links. Deze techniek maakt detectie moeilijk omdat het verkeer afkomstig lijkt te zijn van vertrouwde cloudproviders.
Compromittering op beheerdersniveau
Zodra ScreenConnect actief wordt op de systemen van slachtoffers, krijgen aanvallers toegang op beheerdersniveau voor een uitgebreide verkenning van het netwerk. Ze bewegen zich lateraal door bedrijfsomgevingen, verzamelen inloggegevens en lanceren opnieuw phishingaanvallen vanuit gecompromitteerde netwerken.
In sommige gevallen verbinden links rechtstreeks met live ScreenConnect-sessies zonder dat er software hoeft te worden geïnstalleerd. Deze aanpak omzeilt opnieuw traditionele securitymaatregelen, hierbij specifiek de beschermingsmethodes gericht zijn op het blokkeren van uitvoerbare downloads.
Een bijzonder verraderlijke tactiek is het invoegen van kwaadaardige links in bestaande e-mailconversaties. Deze techniek maakt misbruik van het vertrouwen dat werknemers stellen in lopende zakelijke discussies, waardoor de frauduleuze berichten legitiem lijken.
Commerciële exploitatie op het dark web
De aanvalsmethode is gecommercialiseerd op dark web-markten, waar verkopers “ScreenConnect Revolution”-kits verkopen. Deze pakketten bevatten verborgen VNC-functionaliteit, Windows Defender-bypasses en functies voor het herstellen van sessies die zijn ontworpen om permanente toegang te behouden.
Kant-en-klare implementatiediensten zijn beschikbaar voor ongeveer 6.000 dollar, inclusief training en technische ondersteuning. Nog zorgwekkender zijn aanbiedingen voor vooraf gecompromitteerde netwerktoegang, waarbij criminelen toegang verkopen tot reeds geïnfiltreerde organisaties met honderden aangesloten hosts. Deze netwerktoegangspakketten kosten tussen de 500 en 2.000 dollar, afhankelijk van de waarde van het doelwit.
Uit de geografische spreiding blijkt dat de meeste slachtoffers zich in de Verenigde Staten bevinden, met aanvullende doelwitten in Canada, het Verenigd Koninkrijk en Australië. Onderwijsinstellingen, religieuze organisaties, zorgverleners, financiële dienstverleners, verzekeringsmaatschappijen en technologiebedrijven zijn allemaal getroffen.
Verdediging vereist een alomvattende aanpak
De aanbevolen tegenmaatregelen gaan verder dan traditionele e-mailfiltering. Organisaties moeten volgens Abnormal AI geavanceerde e-mailsecurity implementeren die dergelijke pogingen tot identiteitsfraude kunnen detecteren en verdachte linkketens kunnen analyseren.
Verbeterde endpoint security, specifiek voor ongeautoriseerde tools voor externe toegang, is hoe dan ook essentieel. Veel legitieme applicaties voor externe toegang kunnen een aanvalsvector worden wanneer ze zonder goed toezicht worden geïnstalleerd.
Eerdere phishingcampagnes hebben soortgelijke tactieken laten zien als deze campagne, waarbij in sommige gevallen mobiele apparaten werden aangevallen via kwaadaardige PDF-bestanden. De ontwikkeling naar misbruik van legitieme tools dwingt securitytools om mee te innoveren.
Zero-trust-architecturen bieden hierbij extra bescherming door geen impliciet vertrouwen te verlenen, zelfs niet aan tools die legitiem lijken. Bijgewerkte security awareness-trainingen moeten specifiek ingaan op de risico’s van ongevraagde uitnodigingen voor vergaderingen en op het oog behulpzame communicatie, met name tijdens piekperiodes wanneer bepaalde berichten aannemelijk lijken.