Barracuda full logo

Die SOC-Fallakten: XDR enthält zwei nahezu identische Angriffe, die ScreenConnect nutzen

Themen:
2. Juli. 2025
|

Das Managed XDR-Team von Barracuda hat kürzlich zwei Unternehmen dabei geholfen, Vorfälle zu entschärfen, bei denen Angreifer es geschafft hatten, Computer zu kompromittieren und illegale ScreenConnect-Remote-Management-Software zu installieren. Die Vorfälle wurden neutralisiert, bevor die Angreifer sich seitlich durch das Netzwerk bewegen konnten.

Zusammenfassung des Incidents

  • Zwei verschiedene Unternehmen entdeckten merkwürdiges Verhalten auf Computern. Ein Unternehmen entdeckte offene Steuersoftware, während das andere ungewöhnliche Mausbewegungen feststellte.
  • In beiden Fällen entdeckten SOC-Analysten betrügerische Installationen der ScreenConnect-Remote-Zugriffs- und Management-Software.
  • Bei Unternehmen A gab es Anzeichen für mögliche Versuche der Datenexfiltration, die mit einer verworrenen Reihe bösartiger Downloads in Verbindung standen.
  • .Unternehmen B hatte Beweise für bösartige Skripte und Persistenztechniken.
  • In beiden Fällen wurde ScreenConnect heimlich installiert, wobei das Installationsprogramm sich als Dateien im Zusammenhang mit Sozialversicherungsangelegenheiten tarnte.
  • SOC-Analysten konnten beiden Unternehmen helfen, die Vorfälle einzudämmen und zu neutralisieren.

Wie der Angriff ablief

Firma A

  • Unternehmen A wurde misstrauisch, als es bemerkte, dass auf einem Computer eine offene Steuersoftware war, die der Nutzer nach eigenen Angaben nicht geöffnet hatte.
  • Das SOC-Team von Barracuda Managed XDR überprüfte die Protokolle und identifizierte offene Steuersoftware, die mit einer ScreenConnect-Bereitstellung verknüpft war.
  • In Zusammenarbeit mit dem Managed Service Provider von Company A bestätigte das SOC-Team, dass die Bereitstellung von ScreenConnect nicht autorisiert und nicht Teil der Umgebung war.
  • Die betrügerische Anwendung war vom Nutzer des Computers installiert worden. Dieser hatte unwissentlich einen bösartigen ScreenConnect-Installer ausgeführt, der als Dokument zur Sozialversicherung getarnt war.
  • Die Angreifer nutzten ScreenConnect, um Zugriff auf das System zu erlangen und diesen aufrechtzuerhalten.
  • Zusätzliche ausführbare Dateien wurden im „Downloads“-Ordner des kompromittierten Benutzers gefunden, während die unerlaubte ScreenConnect-Anwendung in zwei Ordnern versteckt war: im Ordner „Local\Apps\2.0“ und im Ordner „\Windows\SystemTemp“.
  • Das SOC-Team bemerkte, dass neue Dateien ohne klaren Zweck erstellt wurden und miteinander interagierten. Solche Dateierstellungsschleifen und Interaktionen zwischen Programmen stellen oft einen Versuch der Verschleierung dar, um andere Aktivitäten zu verbergen, wie etwa das unbefugte Entfernen von Daten.
  • Da die XDR-Bereitstellung von Unternehmen A keine Firewall-Integration hatte, konnte die Untersuchung nicht bestätigen, ob es Anzeichen für einen Datendiebstahl gab.
  • Das SOC-Team riet Unternehmen A, das infizierte Gerät vollständig zu löschen und neu aufzubauen, um alle Spuren der Angreifer und ihrer Werkzeuge zu entfernen.

Firma B

  • Unternehmen B bemerkte zufällige Mausbewegungen auf einem Computer, was sie ebenfalls zu einer unerlaubten Installation von ScreenConnect führte.
  • Die Übernahme war ähnlich wie bei Unternehmen A: Ein unvorsichtiger Endbenutzer hatte eine vermeintliche Sozialversicherungsdatei heruntergeladen, die in Wirklichkeit ein ScreenConnect-Installationsprogramm war.
  • Die Angreifer erstellten dann einen neuen Ordner, in den sie weitere unerlaubte Software wie VBS-Skripte (eine leichtgewichtige Microsoft-Programmiersprache, die häufig für Web-Applikationen und automatisierte Aufgaben verwendet wird) herunterluden.
  • Eines dieser Skripte, „Child-Backup.vbs“, führte einen stark verschleierten PowerShell-Befehl aus, um die Persistenz unter Ausnutzung der Remcos-Malware zu etablieren. Remcos-Malware ist ein fortschrittlicher Fernzugriff-Trojaner (oder RAT), der zur Steuerung und Überwachung eines Windows-Computers verwendet werden kann.
  • Das SOC-Team überprüfte alle Firewall-Protokolle und konnte keine Anzeichen von Datendiebstahl feststellen.
  • Das SOC-Team riet Unternehmen B außerdem, das infizierte Gerät vollständig zu löschen und neu aufzubauen, um alle Spuren der Angreifer und ihrer Werkzeuge zu entfernen.
Zeitleiste, wie XDR zwei nahezu identische Angriffe, die ScreenConnect nutzten, eindämmte

Wichtigste Lektionen gelernt

  • Unternehmen benötigen eine starke, cyber-resiliente Security-Strategie, die sowohl bösartigen Zugriff verhindern als auch die Auswirkungen von Bedrohungsakteuren abschwächen kann, die es geschafft haben, Konten und Endgeräte zu kompromittieren. 
  • Dies Strategie sollte die Überwachung und Protokollierung von Endpunkten umfassen, die es Security-Teams ermöglichen, unerwünschte Softwareinstallationen und unautorisierte Fernzugriffstools zu erkennen.
  • In Fällen, in denen Angreifer eine vertrauenswürdige Anwendung missbrauchen, die bereits von einer Organisation bereitgestellt wurde, kann die bösartige Absicht alltäglicher IT-Aktionen wie Dateidownloads möglicherweise nicht immer eine Sicherheitswarnung auslösen.
  • Die Security-Strategie sollte daher auch Maßnahmen zur Erkennung und Prävention von Malware umfassen, um verschleierte Skripte und Persistenztechniken aufzudecken.
  • Ebenso wichtig ist das Bewusstsein der Mitarbeiter für Cybersecurity in Bezug auf die neuesten Phishing-Techniken und sicheres Surfen, um Social-Engineering-Angriffe zu mindern.
  • Das Löschen kompromittierter Systeme kann eine Kontrollmaßnahme, um Bedrohungen zu beseitigen, wenn es den Angreifern gelungen ist, Persistenz zu erreichen.

Barracuda Managed XDR hilft dabei, solche Vorfälle zu erkennen und zu entschärfen. Es überwacht kontinuierlich Endpunkte und Netzwerkaktivitäten, um anomale Verhaltensweisen wie unerlaubte Softwareinstallationen oder ungewöhnliche Dateiinteraktionen zu erkennen. Es nutzt Threat Intelligence, um bekannte bösartige Skripte und Tools, wie Remcos-Malware oder verschleierte PowerShell-Befehle, zu erkennen.

Managed XDR bietet darüber hinaus schnelle Incident-Response-Fähigkeiten und gewährleistet eine rasche Eindämmung und Behebung identifizierter Bedrohungen. Detaillierte Protokolle und forensische Analysen helfen dabei, den Ursprung und das Ausmaß des Angriffs nachzuvollziehen, was strategische Maßnahmen zur zukünftigen Prävention ermöglicht.

Durch die Integration mit Endpoint Detection and Response (EDR) verbessert Managed XDR die Sichtbarkeit in isolierte Systeme und bietet umsetzbare Erkenntnisse zur Schadensbegrenzung. Die proaktive Bedrohungssuche, unterstützt durch Managed XDR, hilft dabei, Persistenzmechanismen zu identifizieren und zu beseitigen, bevor Angreifer dauerhaften Zugriff erlangen.

Weitere Informationen zu Barracuda Managed XDR und SOC finden Sie auf der Website.Aktuelle Informationen zu neuen Funktionen und Upgrades sowie neuen Erkennungen für Barracuda Managed XDR finden Sie in den neuesten Versionshinweisen.

Erfahren Sie, was es Neues bei Barracuda Managed XDR gibt
Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.