Eine massive Maldumping-Kampagne, die Anfang 2026 entdeckt wurde, nutzte die Suche nach Steuerdokumenten, um Opfer in den Vereinigten Staaten zu böswilligen Installateuren zu bringen, die eine Sicherheitslösung Killer im Kernel-Modus liefern. Laut der von der Huntress Cybersecurity-Firma veröffentlichten Analyse wurden die gesponserten Anzeigen auf Trickster-Seiten umgeleitet, die ConnectWise ScreenConnect-Installateure (auch bekannt als ConnectWise Control) verteilten und von dort eine Kette von Angriffen auf blinde Endpoint-Verteidigungen eingesetzt, bevor sie auf das Engagement vorangingen. Hier können Sie den technischen Bericht von Huntress lesen: Huntress - W2 Maldumping auf Kernel-Modus EDR töten.
Was diese Operation besonders gefährlich macht, ist nicht nur der Einsatz von Social Engineering in Steuerfragen, sondern die Kombination von kommerziellen Werkzeugen und legitimen Komponenten. Die Angreifer nutzten kommerzielle Landing-Dienste, um die Scanner und Anzeigen-Review-Systeme sehen eine harmlose Seite, während die realen Menschen erhielt den böswilligen Installer. Laut Huntress umfasste die Infrastruktur mindestens zwei Schichten des Verstecks: eine basierend auf Adspect und eine basierend auf JustCloakIt, die gemeinsam die Drucke des Besuchers überprüfen und entscheiden, welche Inhalte zu dienen. Diese Art von TDS (Traffic Distribution System) erlaubte es ihnen, automatische Erkennungen und Fokussierung zu umgehen.
Das kritische Stück der schädlichen Kette ist ein Modul, das Forscher HwAudKiller genannt haben. Diese Komponente nutzt eine Technik, die als "Bring Your Own Vulnerable Driver" (BYOVD) bekannt ist, in der ein legitimer und signierter Controller geladen wird, der nutzbare Schwachstellen enthält, um Aktionen aus dem Kernel auszuführen. In diesem Fall wurde der von einem bekannten Audio-Hardware-Hersteller - die HWAuidoOs2EC.sys-Datei - signierte Treiber identifiziert und verwendet, um Sicherheitsproduktprozesse aus Kernel-Modus zu beenden, etwas, das Benutzerraumsteuerungen nicht leicht verhindern können.
Das Engineering hinter dem Missbrauch von signierten Controllern ist einfach in seinem Ansatz und alarmierend in seinen Folgen: Windows ermöglicht es, signierte Treiber zu laden, ohne die Signaturprüfung zu überspringen (Fahrer Signature Enforcement). Wenn ein Angreifer einen legitimen Controller findet, der Funktionen hat, die missbraucht werden können - zum Beispiel die Fähigkeit, Prozesse aus dem Kernel zu beenden - können Sie es verwenden, um EDRs und Antivirus zu deaktivieren, öffnen Sie die Tür zu späteren Aufgaben wie Anmeldeinformationen oder seitliche Bewegung.
Sobald erste Beharrlichkeit mit ScreenConnect-Instanzen erreicht wurde, setzten die Betreiber zusätzliche Remote-Management- und Redundanz-Tools ein, darunter mehrere ScreenConnect-Testinstanzen und RMM-Agenten wie FleetDeck, um den Zugriff nicht zu verlieren, wenn eine Instanz erkannt wurde. Darüber hinaus beobachtete mindestens ein Vorfall die Speicherumkehr des LSASS-Prozesses und die Verwendung von Audit- und lateralen Bewegungsauslastungen wie Nettoertrag. Diese Maßnahmen passen zu beobachteten Verhaltensweisen in Akteuren, die den Boden für die Bereitstellung von Ransomware oder für den Verkauf von Zugang zu illegalen Märkten vorbereiten.
Die Angreifer versuchten auch, Erkennungsplattformen durch Verdrängungs- und Ressourcenmissbrauchstechniken zu umgehen. Der Krypter, der von den Operatoren zugewiesen und gefüllt zwei Gigabyte Speicher mit Nullen und dann freigegeben, dass Block, ein Trick entworfen, um Emulatoren und Sandboxen durch hohen Speicherverbrauch fehlschlagen und so die Wahrscheinlichkeit der Detektion durch dynamische Analyse reduzieren.
Unter den technischen Indikatoren gibt es ein weiteres interessantes Detail: in einem öffentlichen Ordner in der Angreifer-Infrastruktur erschien eine gefälschte Chrome-Update-Seite mit russischen Kommentaren auf dem JavaScript-Code, was die Teilnahme eines russischsprachigen Entwicklers oder die Verwendung von Werkzeugen in dieser Gemeinschaft vorschlägt. Dies entspricht nicht der endgültigen Zuschreibung, aber es gibt Hinweise über den Ursprung des sozialen und technischen Instruments, das verwendet wird, um Opfer zu täuschen.
Dieser Fall zeigt einen beunruhigenden Trend: Die Kombination von kommerziellen Dienstleistungen, kostenlosen oder Test Remote Access Tools, Off-of-Box-Krypter und unterzeichneten aber unsicheren Controllern ermöglicht es Schauspielern mit bescheidenen Ressourcen, anspruchsvolle Angriffsketten zu montieren, ohne Zero-Day-Schwachstellen oder eigene National-State-Fähigkeiten auszunutzen. Huntress fasst dies zusammen, indem darauf hingewiesen wird, dass die Zugangsbarriere für fortgeschrittene Betriebe durch die Kombination von Marktkomponenten reduziert wurde.
Was können Unternehmen und Nutzer tun, um das Risiko solcher Angriffe zu reduzieren? Zunächst ist es angebracht, die Kontrollen über die Installation von Remote-Software zu stärken und jegliche unerwartete Erscheinung von eingehenden ScreenConnect-Verbindungen oder RMM-Tools zu überprüfen. In Unternehmensumgebungen hilft die Anwendung von Treibersteuerungsrichtlinien und einer weißen Liste von Treibern, den Missbrauch von unterzeichneten Komponenten zu mindern; Microsoft Dokumente Treibersignaturrichtlinien in seiner technischen Dokumentation über Kernel-Mode-Code unterzeichnen Hier.. Es wird auch empfohlen, Anmeldeschutztechnologien wie Creative Guard zu ermöglichen, es für LSASS ( Microsoft-Dokumentation)
Auf betrieblicher Ebene sind Sperrdomänen und Muster, die in Distributionsketten beobachtet werden, die Ausführung heruntergeladener Installateure von gesponserten Anzeigen, die Segmentierung des Netzes und die Anwendung von Überwachung, die die Installation oder ungewöhnliche Ausführung von mehreren Remote Agenten erkennt, wirksame Maßnahmen. Um sich vor Vermeidungstechniken wie dem Krypter zu verteidigen, ist es wichtig, Sicherheitslösungen zu haben, die Telemetrie in mehrere Schichten (Endpunkt, Netzwerk und Cloud) integrieren und nicht nur von statischen Analysen oder Sandkästen mit begrenzten Ressourcen abhängen. Organisationen sollten auch Bildungspolitik für Mitarbeiter auf die Risiken von folgenden gesponserten Links, die Steuerdokumente versprechen und immer die Legitimität von Domains und Zertifikaten überprüfen.
Um den taktischen Kontext zu verstehen, können öffentliche Verweise auf Anmelde-Theft-Techniken und seitliche Bewegung gefunden werden, wie zum Beispiel der MITRE ATT & CK Katalog für "Creative Dumping" ( MITRE ATT & CK - T1003), die dazu beiträgt, die von den Angreifern verwendeten Indikatoren und Taktiken zu korrelieren.
Kurz gesagt, die von Huntress entdeckte Kampagne ist ein Wake-up-Anruf: nicht nur zeigt sie wieder die Effektivität des Fräsens gegen Benutzer, die nach legitimen Dienstleistungen suchen (wie Steuerformulare), sondern es zeigt, wie die Wiederverwendung von legitimen Software mit Fehlern zu einer mächtigen Waffe werden kann, wenn sie mit kommerziellen Wäscheservices und Remote Access-Tools kombiniert. Die heutige Verteidigung erfordert eine Strategie, die über die Unterzeichnung von Treibern hinausgeht oder auf die Sandbox-Analyse angewiesen ist: sie erfordert Leistungskontrollen, Segmentierung, Multilevel-Erkennung und eine gute digitale Hygiene durch Anwender.
Wenn Sie die technischen Details und Indikatoren, die von den Forschern beobachtet werden, vertiefen möchten, überprüfen Sie den oben erwähnten Huntress-Bericht und überprüfen Sie Ihre Telemetrie-Datensätze, um nach ScreenConnect-Installationsmustern, Verbindungen zu verdächtigen Domänen und das Vorhandensein ungewöhnlicher Treiber in den Hosts zu suchen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...