Mimecast 威胁研究团队在 Samantha Clarke 的带领下,揭露了一场自 2022 年以来持续至今的凭证窃取活动(编号 MCTO3030)。这场行动悄然针对 ScreenConnect 云端管理员,并与勒索软件活动存在密切联系——有强烈迹象表明,被窃取的凭证正被输送给勒索软件联盟,用于大规模攻击。
Mimecast 研究人员指出,该行动凭借“低频投递的分发方式展现出了极高的操作安全性,使其长期未被察觉”。
攻击者的目标极为明确:高级 IT 专业人员、系统管理员、主管,以及拥有 ScreenConnect 超级管理员权限的安全人员。这些凭证尤其危险,因为它们能“全面掌控整个组织的远程访问基础设施”。
在攻击手法上,攻击者通过 Amazon Simple Email Service (SES) 分发鱼叉式钓鱼邮件。这种方式借助了可信赖的基础设施,不仅投递率高、成本低,还让传统邮件过滤系统更难拦截。
攻击流程清晰分为几个阶段:
- 初始接触 —— 受害者收到鱼叉式钓鱼邮件,邮件常声称检测到可疑登录行为;
- 社会工程 —— 邮件引导用户点击“查看安全”按钮;
- 凭证窃取 —— 链接跳转至伪造的 ScreenConnect 门户网站,这些网站通常注册在相似的国家/地区顶级域名(ccTLD)下;
- 中间人攻击 (AITM) —— 借助 EvilGinx 框架,攻击者能实时截获受害者的凭证和多因素认证 (MFA) 令牌;
- 账号接管 —— 超级管理员账号被劫持;
- 横向移动 —— 攻击者可以在多个终端部署恶意的 ScreenConnect 客户端。
Mimecast 解释称:“这些钓鱼页面利用 EvilGinx 框架实现了复杂的 AITM 攻击……攻击者因此能够绕过现代身份认证防护,并维持持久访问。”
更令人担忧的是,这场行动与勒索软件存在直接关联。根据 Mimecast 的说法,“Sophos 的研究表明,Qilin 勒索软件联盟同样盯上了 ScreenConnect,这暗示这些凭证窃取活动正作为勒索软件攻击的前期入口。”
一旦掌握超级管理员凭证,攻击者就能在整个组织范围内下发恶意的 ScreenConnect 实例,从而实现快速横向扩散与大规模勒索软件投放。
攻击者常使用带有 ScreenConnect 主题的 ccTLD 域名,进一步强化伪装的可信度。他们的基础设施运作有序,多年来的持续活动也证明这种方法依然奏效。
此外,Mimecast 指出,本次行动中使用的 Amazon SES 账号通常是通过窃取的凭证注册,或在地下市场购买的,这让检测难度更高。
这是一场 全球性攻击,不同行业、不同地区的组织都在被锁定,但攻击者始终精准聚焦于那批拥有最高 ScreenConnect 权限的人员。
Mimecast 总结道:“这场行动的长期性和与勒索软件的紧密关联,使其成为所有依赖 ScreenConnect 进行远程访问管理的组织必须高度警惕的重大威胁。”
发表评论
您还未登录,请先登录。
登录