Threat Response
Threat Response

The SOC Files: ScreenConnect под маской бесплатных программ. Обзор масштабной кампании

Продукты и сервисы Kaspersky по теме

Введение

Для подключения к скомпрометированным системам злоумышленники часто используют легитимные инструменты удаленного управления. На первый взгляд такие программы вызывают минимум подозрений: они подписаны официальными сертификатами, включены в список разрешенного корпоративными политиками ПО и полностью поддерживаются производителями ОС. Однако с их помощью атакующие получают возможности сбора данных с целевых устройств, установки вредоносного ПО и дальнейшего продвижения по инфраструктуре.

Так, в одном из инцидентов, зафиксированных сервисом Kaspersky Managed Detection and Response (MDR), мы обнаружили, что инструмент удаленного доступа ScreenConnect использовался для установки и запуска вредоносного модуля AsyncRAT.

Проведя детальный разбор этого инцидента, мы раскрыли масштабную кампанию, в рамках которой на поддельных веб‑ресурсах распространяются архивы‑установщики, замаскированные под популярные программы, — OBS Studio, DNS Jumper, DS4Windows, Bandicam и другие. Всего мы обнаружили более 90 доменных имен, локализованных на 10 языках. Вредоносные архивы содержат легитимный подписанный файл Microsoft install.exe и библиотеку install.res.1033.dll. Она загружается на устройство при помощи техники DLL sideloading и разворачивает сервис ScreenConnect, ожидающий дальнейших инструкций от злоумышленников.

Таким образом, изолированный случай со ScreenConnect стал отправной точкой в расследовании инфраструктуры C2-серверов злоумышленников. На всех обнаруженных нами сайтах использовалась одна и та же схема: под видом легитимного дистрибутива в систему загружался скрытый сервис удаленного администрирования ScreenConnect. Так атакующие сохраняли контроль над зараженными машинами. Жертвами этой кампании стали как отдельные пользователи, так и организации.

Мы продолжаем разбирать интересные многоэтапные инциденты в рамках цикла публикаций The SOC Files. В этой статье мы подробно рассмотрим техническую реализацию атаки со ScreenConnect и проанализируем инфраструктуру, подконтрольную злоумышленникам.

Расследование первичного инцидента

Как мы упомянули выше, основанием для расследования стало оповещение сервиса Kaspersky MDR, зафиксировавшего создание и запуск подозрительных скриптов PowerShell и VBS от процесса ScreenConnect.

О ScreenConnect

ScreenConnect — это легитимная утилита удаленного управления. Решения «Лаборатории Касперского» детектируют ее как not-a-virus:HEUR:RemoteAdmin.MSIL.ConnectWise.gen.

Утилита ScreenConnect была запущена как сервис с типом Access, что подразумевает возможность прямого удаленного подключения, с явным указанием сервера в командной строке:

Событие запуска сервиса ScreenConnect с подозрительными параметрами

Событие запуска сервиса ScreenConnect с подозрительными параметрами


От ScreenConnect осуществлялись создание и запуск PowerShell-скрипта Fj5NmEsp9EuKrun.ps1:
Создание вредоносного PowerShell-скрипта

Создание вредоносного PowerShell-скрипта

Ниже представлена часть содержимого этого скрипта:

Фрагмент Fj5NmEsp9EuKrun.ps1

Фрагмент Fj5NmEsp9EuKrun.ps1

Этот скрипт исключает из проверок Windows Defender следующие объекты:

  • Все диски в системе: C:\, D:\ и т. д.
  • Все директории в корне диска C:\ и в директории C:\Users\Public
  • Процесс RegAsm.exe

Кроме того, скрипт отключает механизм контроля учетных записей пользователей UAC путем изменения параметра реестра ConsentPromptBehaviorAdmin на значение 0.

Затем от сервиса ScreenConnect создается VBS-скрипт:

Создание вредоносного VBS-скрипта

Создание вредоносного VBS-скрипта

installer_method3_stream.vbs создает в каталоге C:\Users\Public пять файлов (msgbox.txt, secret_bytes.txt, 1.vb, cap.ps1 и script.vbs) и сразу же инициирует их выполнение, запустив script.vbs.

Содержимое script.vbs

Содержимое script.vbs

Этот скрипт завершает все текущие процессы powershell.exe, чтобы скрыть следы своей работы, и запускает cap.ps1 в скрытом окне.

Содержимое cap.ps1

Содержимое cap.ps1

cap.ps1 читает содержимое файла secret_bytes.txt, извлекает из него последовательности вида [SXX- и переводит XX из шестнадцатеричного представления в байт. Затем скрипт расшифровывает каждый байт при помощи XOR-ключа 0xA7 и инвертирует порядок битов. Полученный массив байтов представляет собой готовый PE‑образ, который рефлективно загружается в CLR.

В загруженной сборке тип ConsoleApp1.Module1 содержит статический метод Run. С помощью рефлексии (Reflection.BindingFlags) скрипт получает ссылку на этот метод и вызывает его.

Метод Run реализует технику process hollowing (T1055.012): он создает новый процесс RegAsm.exe с флагом CREATE_SUSPENDED. В его адресное пространство полностью копируется деобфусцированный и расшифрованный PE-образ из secret_bytes.txt. В результате процесс RegAsm.exe больше не исполняет свой собственный код, а работает как «контейнер» для внедренного .NET‑модуля. Этот модуль представляет собой троянец удаленного доступа AsyncRAT.

Для закрепления создается задача планировщика с именем MasterPackager.Updater:

После успешного выполнения всех этапов процесс RegAsm.exe осуществляет соединение с С2-доменом mora1987[.]work[.]gd.

Цепочка заражения и закрепления AsyncRAT в системе при помощи ScreenConnect

Цепочка заражения и закрепления AsyncRAT в системе при помощи ScreenConnect

Как ScreenConnect оказался в системе

Мы провели ретроспективный анализ инцидента и выявили источник установки сервиса ScreenConnect. Им оказался скачанный пользователем архив obs-studio-windows-x64.zip.

Архив был скачан с сайта hxxps://www.studioobs[.]com/, который мимикрирует под официальный ресурс для загрузки OBS Studio, программы для записи экрана. Этот сайт доступен в поисковой выдаче при запросе соответствующего ПО — в рассматриваемом инциденте пользователь оказался на нем именно из результатов поиска, о чем мы подробнее расскажем далее.

При нажатии кнопки для скачивания якобы легитимной программы открывается следующий URL-адрес, откуда загружается архив:

Сайт для доставки ScreenConnect

Сайт для доставки ScreenConnect

Внутри архива содержится подписанный Microsoft легитимный файл install.exe (87603EA025623B19954E460ADD532048), переименованный под установщик OBS Studio, а также вредоносная библиотека install.res.1033.dll. Кроме того, в архиве находится папка Assets, хранящая в себе копию устанавливаемого ПО и утилиту ScreenConnect.

Содержимое obs-studio-windows-x64.zip

Содержимое obs-studio-windows-x64.zip

Полная структура файлов в архиве выглядит следующим образом:

Полное содержимое obs-studio-windows-x64.zip

Полное содержимое obs-studio-windows-x64.zip

При запуске файла OBS-Studio-Installer.exe методом DLL sideloading загружается библиотека install.res.1033.dll. В ней хранятся инструкции по установке ScreenConnect и OBS Studio. Установка производится стандартными средствами Windows (msiexec.exe), однако MSI-пакеты были переименованы в DLL-файлы следующим образом:

  • Assets\x86\Data\vcredist_x64.dll — установщик ScreenConnect
  • Assets\x86\Data\vcredist_x86.dll — установщик OBS Studio

Содержимое MSI-пакета vcredist_x64.dll выглядит следующим образом:

Установочные файлы ScreenConnect

Установочные файлы ScreenConnect

Запуск установщика Windows и последующая установка ScreenConnect производятся в тихом режиме без перезагрузки:

При завершении установки создается служба с названием Microsoft Update Service, а в командной строке явно указан сервер подключения r[.]servermanagemen[.]xyz.

При этом MSI-пакет с OBS Studio устанавливается в обычном графическом режиме.

Схема установки ScreenConnect и OBS Studio

Схема установки ScreenConnect и OBS Studio

Дальнейшие поиски

На дальнейшее расследование нас натолкнуло использование в атаке легитимного файла install.exe. Мы обнаружили, что этот файл используется под множеством других, подозрительных названий, включая следующие:

  • ds4windows.exe
  • crosshairx_installer.exe
  • obs-studio-installer.exe
  • dns jumper.exe
  • glary utilities pro.exe
  • processhacker-2.39-setup.exe

Эти имена свидетельствуют о том, что, помимо OBS Studio, злоумышленники маскировали архивы со ScreenConnect и под другое популярное ПО. Например, мы встречали поддельные установщики таких программ, как DS4Windows, DNS Jumper, Glary Utilities и Process Hacker. Интересно, что в популярных поисковых системах по запросу соответствующего ПО поддельные сайты оказываются в топе выдачи, а значит, злоумышленники используют методы поисковой оптимизации (SEO) для увеличения посещаемости страниц-приманок.

Поддельные «сайты с популярным ПО» в поисковой выдаче различных поисковиков

Поддельные «сайты с популярным ПО» в поисковой выдаче различных поисковиков

К примеру, так выглядит сайт поддельного установщика DNS Jumper:

Сайт, мимикрирующий под официальный ресурс DNS Jumper

Сайт, мимикрирующий под официальный ресурс DNS Jumper

В данном примере кнопка для скачивания ведет на следующий адрес:

Как и в случае с OBS Studio, на устройство жертвы загружается архив с аналогичной файловой структурой: переименованный легитимный файл install.exe, библиотека, загружаемая техникой DLL sideloading, и директория Assets с искомым ПО и ScreenConnect.

Содержимое архива с DNS Jumper и ScreenConnect

Содержимое архива с DNS Jumper и ScreenConnect

Похожим образом оформлены и другие поддельные веб-сайты, которые можно найти в поисковой выдаче при запросе соответствующего ПО.

Поддельные сайты для распространения ScreenConnect

Поддельные сайты для распространения ScreenConnect

Стоит отметить, что у большинства обнаруженных нами поддельных сайтов существует локализация на английский, русский и китайский языки. В некоторых случаях сайты также доступны на немецком, французском, испанском, арабском и других языках. Это говорит о том, что вредоносная кампания охватывает большое количество пользователей из различных стран.

Языковые версии одного из сайтов, доставляющих ScreenConnect

Языковые версии одного из сайтов, доставляющих ScreenConnect

Инфраструктура поддельных доменов

Для распространения ScreenConnect под видом бесплатного ПО злоумышленники создали большое количество доменных имен, располагающихся на трех IP-адресах, которые мы выделили в две отдельные ветки распространения.

Первый кластер: 162.216.241[.]242 и 198.23.185[.]81

Ниже представлен граф связей веб-сайтов кампании для адреса 162.216.241[.]242, на котором, в частности, расположен вышеупомянутый www[.]studioobs[.]com.

Граф URL-адресов для 162.216.241[.]242

Граф URL-адресов для 162.216.241[.]242

Проверив даты создания доменов на этом IP-адресе, мы обнаружили, что первоначально злоумышленники пытались маскировать свои ресурсы под различные игры:

Далее, начиная с января 2026 года, стали регистрироваться поддельные домены для маскировки под бесплатное ПО:

В этой части кампании по распространению ScreenConnect вредоносные архивы располагаются на ресурсе fileget.loseyourip[.]com. При этом сам ресурс расположен на другом хостинге:

Мы проанализировали этот IP-адрес и обнаружили, что на нем также располагаются и другие ресурсы, использующиеся в кампании, в том числе поддельные сайты игр и другие ссылки на загрузку:

Граф URL-адресов для 198.23.185[.]81

Граф URL-адресов для 198.23.185[.]81

Второй кластер: 2.59.134[.]97

Ниже представлен граф связей этого IP-адреса и доменов, располагающихся на нем. Стоит отметить, что, в отличие от предыдущего случая, на этом адресе также расположен и ресурс, на котором хранятся распространяемые вредоносные архивы, — direct-download.giize[.]com.

Граф URL-адресов для 2.59.134[.]97

Граф URL-адресов для 2.59.134[.]97


В этой части кампании злоумышленники не маскировали установщики под игры, а только создавали поддельные сайты с бесплатным ПО, установка которого одновременно устанавливала и ScreenConnect. Домены, располагающиеся на адресе 2.59.134[.]97, создавались с октября 2025 года по март 2026 года.

На диаграмме отображено количество созданных поддельных веб-сайтов по месяцам:

Распределение сайтов, доставляющих ScreenConnect, по тематике, август 2025 г. — март 2026 г.

Распределение сайтов, доставляющих ScreenConnect, по тематике, август 2025 г. — март 2026 г.

Исследование С2-инфраструктуры

Всего в рамках кампании мы зафиксировали десятки различных распространяемых архивов. Все они имеют однотипную структуру с вредоносной DLL install.res.1033.dll и MSI-пакетом со ScreenConnect по пути Assets\x86\vcredist_x64.dll.

В некоторых случаях в установочном пакете ScreenConnect также содержится архив с расширением .cab.

Содержимое CAB-архива

Содержимое CAB-архива

В этом архиве находится XML-файл system.config, содержащий адрес подключения к C2-серверу ScreenConnect:

Содержимое system.config

Содержимое system.config

Анализируя подобные установки ScreenConnect, мы обнаружили и другие С2-адреса, представленные на следующем графе:

Граф C2-доменов для ScreenConnect

Граф C2-доменов для ScreenConnect

На следующем графе показана инфраструктура C2-серверов AsyncRAT:

Инфраструктура C2-серверов AsyncRAT

Инфраструктура C2-серверов AsyncRAT

По датам создания C2-доменов можно утверждать, что кампания началась в октябре 2025 года и была приостановлена в конце марта, однако многие сайты-приманки на момент публикации остаются доступными в поисковой выдаче.

Заключение

Исследование единичного случая доставки AsyncRAT через ScreenConnect позволило нам раскрыть масштабную мультидоменную и мультиязычную инфраструктуру для распространения скрытого установщика этого ПО и дальнейшего развития атаки. Злоумышленники маскируют ScreenConnect под популярные программы и распространяют его через поддельные веб-сайты, имитирующие официальные страницы известных продуктов. Атакующие используют методы поисковой оптимизации, чтобы такие сайты оказывались на первых строчках в выдаче поисковых систем, например Google или Bing.

Эта цепочка ориентирована как на обычных конечных пользователей, которые скачивают бесплатные утилиты из интернета, так и на корпоративные сети, где инструменты удаленного доступа часто находятся в списке разрешенного ПО и обладают повышенными привилегиями.

Потенциальная цель кампании — массовая кража учетных данных и получение несанкционированного доступа к системам для дальнейшей перепродажи на теневых площадках.

Для снижения рисков, связанных с этой угрозой, мы рекомендуем следующее:

  • внедрить строгий контроль за установкой программ (списки разрешенного ПО, блокировка установки MSI‑пакетов из непроверенных файлов);
  • постоянно отслеживать появление новых сервисов удаленного администрирования и задач планировщика;
  • фильтровать исходящий трафик к неизвестным доменам и IP‑адресам;
  • регулярно обучать пользователей принципам безопасного скачивания;
  • проверять подлинность источников программного обеспечения.

Для корпоративных пользователей особенно важной мерой, связанной с митигацией описанных в статье рисков, становится отслеживание учетных данных на предмет компрометации, поскольку утечка аккаунта или доступа к системам может послужить вектором развития дальнейших атак на организацию. Наш сервис Kaspersky Digital Footprint Intelligence осуществляет непрерывный мониторинг данных в открытых и теневых источниках, что позволяет своевременно среагировать на потенциальную угрозу.

Детектирование решениями «Лаборатории Касперского»

Сервис Kaspersky Managed Detection and Response детектирует вредоносную активность, описанную в этой статье, с помощью следующих индикаторов атаки:

  1. Создание сервиса ScreenConnect с подозрительными параметрами
  2. Запуск нетипичных дочерних процессов от сервиса ScreenConnect

Кроме того, продукты «Лаборатории Касперского» детектируют описанное в статье вредоносное ПО со следующими вердиктами:

  • Trojan.Win64.DLLhijack.*
  • Trojan.VBS.Agent.*
  • Trojan.PowerShell.Agent.bav
  • Trojan.JS.SAgent.sb

Вредоносную активность на конечных точках можно отслеживать с помощью решения Kaspersky EDR Expert. В частности, необходимо детектировать выполнение команд и скриптов, содержащих подозрительные элементы в виде XOR-операций, которые могут использоваться для обфускации и деобфускации различных команд и данных в рамках работы ВПО на хосте. Эта активность обнаруживается правилами suspicious_assembly_loading_into_powershell_via_reflection_amsi и xored_powershell_command_amsi.

В дополнение к этому активность, связанная с закреплением вредоносного ПО в системе за счет создания, изменения или использования запланированных задач через утилиту schtasks.exe, детектируется с помощью правила scheduled_task_create_from_public_directory_via_schtasks.

Активность, связанная с внедрением вредоносного кода в процесс RegAsm.exe с целью маскировки выполнения и использования доверенного системного компонента, обнаруживается с помощью правила code_injection_to_unusual_process.

Визуализировать этапы атаки можно с помощью решения Kaspersky Cloud Sandbox на портале Threat Intelligence. Например, этот инструмент позволяет проследить цепочку развертывания и выполнения полезной нагрузки из исходного VBS-дроппера.

Помимо этого, на портале Kaspersky Threat Intelligence доступен поиск и визуализация связей между вредоносными доменами и файлами, задействованными в кампании. Мы продемонстрировали эти возможности в разделе описания инфраструктуры, подконтрольной злоумышленникам.

Движок Similarity в рамках Kaspersky Threat Analysis анализирует содержимое файлов и выполняет поиск образцов, похожих на исходный, что также может помочь выявить новые или ранее не обнаруженные вредоносные объекты.

Индикаторы компрометации

Загрузчики

B32810973132D11AFD61CCEE222BBB79
5B7E1FE55BD7B5EA54BD4ED1677E5A26
9A9CCD8B0E5D05F4EE77667B024844DB
0EEE9BAD07E22415439E854657FA1366
8F4E8B680D3E8D3F5AC39BD72882F713

Вредоносная библиотека install.res.1033.dll

5F96C04E3AFAE97017B201BE112284D2
73BEAD922109A61E5F9F85771A7812C5
EDFF4F58722C93D7C09ED71899416396
83601C3D4ED28E8D2BE1B99BEB8EC18C
695E794631EF130583368770E7B81E98
83601C3D4ED28E8D2BE1B99BEB8EC18C
1E6A5C7B620D487D0CFC6874C3B77C90
54025CE2A9405039899FE99A1D77E0BB
BD05FCF80E493CF9AA71EC510319469D
999A63730C9634481D1D76955A2E76A8
479BD3BB617B39CD4A46D0768A2592D4
776DFD3DF9C04BB9FCDD6C1880C3761A
8E4C57358A66EB14D31ABB614DDC68DE
A40D3AEB0DAE5B00BDB3A517F3135BBB
A85A5BFDCB7C65AB93043B8CF9E20065
01325880EFFFEC546F59490089A3B415

AsyncRAT С2

mora1987[.]work[.]gd

Адреса поддельных сайтов

ds4windows[.]io
direct-download[.]giize[.]com
tmodloader[.]org
tmodloader[.]app
ds4windows[.]net
losslessscaling[.]app
processhacker[.]dev
steamtools[.]pro
dnsjumper[.]app
free-download[.]camdvr[.]org
defendercontrol[.]org
dns-jumper[.]com
cpuz[.]app
processhacker[.]org
processhacker[.]app
steamtools[.]cc
cpuz[.]pro
wallpaper-engine[.]app
processhacker[.]net
antimicrox[.]net
defendercontrol[.]app
tmodloader[.]pro
dnsjumper[.]io
bandicam[.]app
mgba[.]app
dnsjumper[.]pro
ferdium[.]app
ds4windows[.]pro
lossless-scaling[.]online
defender-control[.]com
gom-player[.]app
defendercontrol[.]pro
lossless-scaling[.]download
antimicrox[.]pro
mgba[.]pro
lossless-scaling[.]app
losslessscaling[.]pro
mgba[.]dev
tmodloader[.]download
tmod-loader[.]com
defendercontrol[.]download
ferdium[.]pro
deadreset[.]com
gom-player[.]net
crosshairx[.]pro
libreoffice[.]pro
studioobs[.]com
studio-obs[.]net
crosshairxv2[.]com
km-player[.]com
corel-draw[.]net
glary-utilities[.]com
download-full-version[.]ooguy[.]com
crosshair-x[.]com
kms-tools[.]com
studio-obs[.]com
crosshairx[.]net
clair-obscur-33[.]com
vlc-player[.]net
arksurvival-ascended[.]com
elden-ringnightreign[.]com
ready-ornot[.]com
arma-reforger[.]com
crusader-kings[.]com
crosshairx2[.]com
mediaplayerclassic[.]net
bandizip[.]pro
obs-studio[.]site
ovr-advanced-settings[.]com
studio-obs[.]pro
vlc-media[.]com
clair-obscur-33[.]town
ovr-toolkit[.]com
crusader-kings[.]church
bandizip[.]net
apexlegends[.]org
obs-studio[.]pro
vlc-media[.]net
crosshairx[.]site
monster-hunterwilds[.]com
km-player[.]pro
mediaplayerclassic[.]pro
kms-tools[.]net
fernbus-simulator[.]com
studioobs[.]pro
bandicam[.]cc
crystaldiskmark[.]cc
crystaldiskmark[.]io
crystaldiskmark[.]dev
crystaldiskmark[.]app
crystaldiskmark[.]pro
bandicam[.]io

Инфраструктура поддельных доменов

fileget.loseyourip[.]com
file-download-crosshairx.giize[.]com
all-toll-free.loseyourip[.]com
mpc-update.giize[.]com
all-toll-free.publicvm[.]com
198.23.185[.]81
direct-download.giize[.]com

ScreenConnect C2

servermanagemen[.]xyz
185.254.97[.]249
r.manage-server[.]xyz
45.145.41[.]205
winservec[.]net
manageserver[.]xyz
cloudsynn[.]com
pingserv[.]pro
ehostservers[.]xyz
serverdnsplan[.]net
pingpanl[.]pro
managedevice[.]xyz
edgeserv[.]ru

The SOC Files: ScreenConnect под маской бесплатных программ. Обзор масштабной кампании

Ваш e-mail не будет опубликован. Обязательные поля помечены *

  1. Луиза

    Спасибо!

Отчеты

ToddyCat — ваш скрытый почтовый ассистент. Часть 2

Разбираем Umbrij — новый инструмент APT-группы ToddyCat для компрометации корпоративной переписки в сервисе Gmail. Целью атак стал токен авторизации OAuth, при помощи которого злоумышленники получали доступ к сервисам Google.