Barracuda full logo

I file del caso SOC: XDR contiene due attacchi quasi identici che sfruttano ScreenConnect

Argomenti:
2 lug 2025
|
Devyn Souza

Il team Managed XDR di Barracuda recentemente ha aiutato due aziende a mitigare gli incidenti in cui gli attaccanti erano riusciti a compromettere i computer e a installare il software di gestione remota non autorizzato ScreenConnect. Gli incidenti sono stati neutralizzati prima che gli attaccanti potessero muoversi lateralmente attraverso la rete.

Riepilogo dell'incidente

  • Due diverse organizzazioni hanno rilevato comportamenti anomali sui loro computer. Un'azienda ha trovato un software fiscale aperto, mentre l'altra ha individuato movimenti insoliti del mouse.
  • In entrambi i casi, gli analisti SOC hanno individuato implementazioni non autorizzate del software di accesso remoto e gestione ScreenConnect.
  • Nell'Azienda A, erano presenti segni di possibili tentativi di esfiltrazione dei dati collegati a una serie contorta di download dannosi.
  • L'Azienda B aveva prove di script dannosi e tecniche di persistenza.
  • In entrambi i casi, ScreenConnect era stato installato in modo surrettizio con il programma di installazione mascherato da file relativi a questioni di previdenza sociale.
  • Gli analisti SOC sono stati in grado di aiutare entrambe le aziende a contenere e neutralizzare gli incidenti.

Come si è svolto l'attacco

Azienda A

  • L'Azienda A si è insospettita quando ha notato un software fiscale aperto su un computer, che l'utente ha affermato di non aver aperto.
  • Il team SOC di Barracuda Managed XDR ha esaminato i log e ha individuato un software fiscale aperto collegato a un'implementazione di ScreenConnect.
  • Collaborando con il provider di servizi gestiti dell'Azienda A, il team SOC ha confermato che l'implementazione di ScreenConnect non era autorizzata e non faceva parte dell'ambiente.
  • L'applicazione non autorizzata era stata installata dall'utente del computer. Aveva eseguito in modo inconsapevole un programma di installazione dannoso di ScreenConnect mascherato da documento di previdenza sociale.
  • Gli attaccanti hanno utilizzato ScreenConnect per stabilire e mantenere l'accesso al sistema.
  • Ulteriori file eseguibili sono stati trovati nella cartella "downloads" dell'utente compromesso, mentre l'applicazione dannosa ScreenConnect è stata trovata nascosta in due cartelle, nella cartella "Local\Apps\2.0\" e nella cartella "\Windows\SystemTemp\".
  • Il team SOC ha individuato nuovi file che si generano e interagiscono tra loro senza uno scopo chiaro. Tali cicli di creazione di file e interazioni tra programmi spesso rappresentano un tentativo di offuscamento per nascondere altre attività, come l'eliminazione non autorizzata di dati.
  • Dal momento che l'implementazione XDR dell'Azienda A non era integrata con il firewall, l'indagine non ha potuto confermare se vi fossero o meno segni di esfiltrazione di dati.
  • Il team SOC ha consigliato all'Azienda A di eliminare e ricostruire completamente il dispositivo infetto per rimuovere tutte le tracce degli attaccanti e dei loro strumenti.

Azienda B

  • L'Azienda B ha individuato dei movimenti casuali del mouse su un computer, e questo ha portato all'installazione non autorizzata di ScreenConnect.
  • L'acquisizione era simile a quella dell'Azienda A: in modo incauto un utente finale aveva scaricato un presunto file di previdenza sociale che in realtà era un programma di installazione di ScreenConnect.
  • Gli attaccanti hanno quindi creato una nuova cartella nella quale hanno scaricato ulteriori software dannosi come gli script VBS (un linguaggio di programmazione Microsoft leggero, spesso utilizzato per applicazioni web e attività automatizzate).
  • Uno di questi, "Child-Backup.vbs" ha eseguito un comando PowerShell fortemente offuscato per stabilire la persistenza sfruttando il malware Remcos. Il malware Remcos è un Trojan di accesso remoto avanzato (o RAT) che può essere utilizzato per controllare e monitorare un computer Windows.
  • Il team SOC ha controllato tutti i log del firewall e non ha notato alcun segno di esfiltrazione di dati.
  • ·       Il team SOC ha inoltre consigliato all'Azienda B di eliminare e ricostruire completamente il dispositivo infetto per eliminare ogni traccia degli attaccanti e dei loro strumenti.
Cronologia di come XDR ha contenuto due attacchi quasi identici sfruttando ScreenConnect

Principali lezioni apprese

  • Le organizzazioni hanno bisogno di una solida strategia di sicurezza di resilienza cibernetica per prevenire gli accessi dannosi e mitigare l'impatto degli attori delle minacce che sono riusciti a compromettere account ed endpoint.
  • Questa strategia dovrebbe includere il monitoraggio e la registrazione degli endpoint per consentire così ai team di sicurezza di individuare installazioni di rogue software e strumenti di accesso remoto non autorizzati.
  • Nel caso di attacco nei confronti di un'applicazione affidabile già implementata da un'organizzazione, l'intento dannoso delle azioni IT di ogni giorno, come il download di file, non sempre potrebbe attivare un avviso di sicurezza.
  • La strategia di sicurezza dovrebbe quindi includere anche misure di rilevamento e prevenzione del malware per individuare script offuscati e tecniche di persistenza.
  • Altrettanto importante è la consapevolezza dei dipendenti in materia di sicurezza informatica riguardo alle tecniche più recenti di phishing e alla navigazione sicura per mitigare gli attacchi di social engineering.
  • L'eliminazione dei sistemi compromessi può essere una misura di controllo per eliminare le minacce nel caso in cui gli attaccanti siano riusciti a ottenere la persistenza.

Barracuda Managed XDR aiuta a rilevare e mitigare tali incidenti. Monitora costantemente gli endpoint e l'attività di rete per individuare comportamenti anomali come installazioni di rogue software o interazioni insolite con i file. Utilizza l'intelligence sulle minacce per individuare script e strumenti dannosi conosciuti come il malware Remcos o i comandi PowerShell offuscati.

Managed XDR fornisce inoltre rapide capacità di incident response, garantendo così velocità nel contenimento e nella risoluzione delle minacce individuate. Le analisi forensi e i registri dettagliati aiutano a tracciare l'origine e l'entità dell'attacco, consentendo così l'adozione di misure di prevenzione strategiche per il futuro.

Integrandosi con il rilevamento e la risposta degli endpoint (EDR), Managed XDR migliora la visibilità nei sistemi isolati e offre approfondimenti utili per la mitigazione. La caccia proattiva alle minacce supportata da Managed XDR aiuta a individuare i meccanismi di persistenza e a eliminarli prima che gli attaccanti ottengano un accesso continuato.

Visita il sito web per ulteriori informazioni su Barracuda Managed XDR e SOC. Per le novità più recenti su funzionalità, aggiornamenti e nuovi rilevamenti per Barracuda Managed XDR, consulta le note di rilascio più recenti.

Scopri le novità di Barracuda Managed XDR
Devyn Souza

Devyn Souza è un Senior Cybersecurity Analyst presso Barracuda, specializzato in automazione come membro del SOC Blue Team. Devyn supporta il nostro servizio XDR aiutando i clienti a comprendere gli avvisi e a investigare sugli incidenti. Ha conseguito una laurea presso la University of New Haven in Informatica con una specializzazione in Cybersecurity.

Post correlati:
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"
 Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Perché gli attaccanti ransomware continuano a tornare per averne di più
Perché gli attaccanti ransomware continuano a tornare per averne di più
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.