网络钓鱼活动影响80多家组织，使用 SimpleHelp 和 ScreenConnect RMM 工具

Source: The Hacker News

概述

自2025年4月起观察到一个活跃的网络钓鱼活动，代号为 VENOMOUS#HELPER。该行动利用合法的远程监控和管理（RMM）工具——SimpleHelp 和 ConnectWise ScreenConnect——在受感染的主机上建立持久的远程访问。

Securonix 报告称，该活动已影响 80 多个组织，主要位于美国。该活动与之前由 Red Canary 和 Sophos（标识为 STAC6405）追踪的集群重叠。虽然威胁行为者尚未确定，但其战术与以金融为动机的初始访问经纪人（IAB）或勒索软件前置组织相符。

“在此案例中，定制的 SimpleHelp 和 ScreenConnect RMM 被用于绕过防御，因为它们是由毫不知情的受害者合法安装的，” — 研究员 Akshay Gaikwad、Shikha Sangwan 和 Aaron Beardslee，Securonix。

攻击流程

1. 钓鱼邮件

• 发送者冒充: 美国社会保障局（SSA）。
• 信息: 收件人被指示验证其电子邮件地址并下载“SSA 声明”。
• 恶意链接: 指向一个被入侵的墨西哥商业站点 (gruta.com.mx)，旨在规避垃圾邮件过滤器。

2. SimpleHelp 负载的投递

• 链接重定向到第二个攻击者控制的域名 (server.cubatiendaalimentos.com.mx)。
• 下载一个使用 JWrapper 打包的可执行文件，该文件会安装 SimpleHelp RMM 客户端。

3. 持久化与自我修复

• 恶意软件以 Windows 服务的形式注册，并使用 安全模式 持久化。
• “自我修复看门狗”在服务被终止时重新启动它。
• 每 67 秒 通过 root\SecurityCenter2 WMI 命名空间枚举已安装的安全产品，并每 23 秒 轮询用户是否在场。

4. 权限提升

• SimpleHelp 客户端使用 AdjustTokenPrivileges 获取 SeDebugPrivilege。
• 利用合法的 elev_win.exe 二进制文件获取 SYSTEM 权限，从而实现完整的桌面交互（屏幕捕获、按键注入、文件传输）。

// Example of AdjustTokenPrivileges usage (illustrative only)
BOOL result = AdjustTokenPrivileges(
    hToken, FALSE, &tp, 0, NULL, NULL);

5. 部署后备 RMM

• 在通过 SimpleHelp 建立控制后，攻击者安装 ConnectWise ScreenConnect 作为次要通道。
• 这种双通道架构即使其中一个工具被检测并阻止，仍能确保持续访问。

影响

• Remote administration capabilities: 攻击者可以静默执行命令、双向传输文件，并且横向渗透到相邻系统。
• Evasion: SimpleHelp (v5.0.1) 和 ScreenConnect 均由信誉良好的英国供应商签名，使其能够绕过许多基于签名的防御。
• Persistence: 自我修复服务和 SYSTEM‑level 权限使得在没有彻底取证分析的情况下难以移除。

缓解建议

1. 电子邮件卫生: 实施 DMARC、DKIM 和 SPF 检查；教育用户了解 SSA 冒充尝试。
2. 网络过滤: 阻止访问已知恶意域名（gruta.com.mx、cubatiendaalimentos.com.mx）。
3. 终端检测: 部署基于行为的 EDR 解决方案，以检测异常的服务安装和特权提升模式。
4. RMM 控制: 清点所有授权的 RMM 工具；限制未签名或意外的二进制文件安装。
5. 事件响应: 如果在终端上发现 SimpleHelp 或 ScreenConnect 二进制文件且没有合法业务需求，应隔离主机，收集取证证据，并使用安全模式或离线工具移除这些服务。

References

• Securonix 博客文章：VENOMOUS#HELPER 网络钓鱼活动
• Red Canary 对基于 RMM 的网络钓鱼的分析
• Sophos 威胁公告（STAC6405）
• Microsoft 关于 AdjustTokenPrivileges 的文档