Kampania phishingowa z SimpleHelp i ScreenConnect uderza w ponad 80 organizacji - Security Bez Tabu

Kampania phishingowa z SimpleHelp i ScreenConnect uderza w ponad 80 organizacji

Cybersecurity news

Wprowadzenie do problemu / definicja

Nowa kampania phishingowa pokazuje, że cyberprzestępcy coraz częściej rezygnują z klasycznego malware’u na rzecz legalnych narzędzi administracyjnych. W opisywanym scenariuszu wykorzystywane są platformy RMM (Remote Monitoring and Management), takie jak SimpleHelp i ScreenConnect, które po instalacji zapewniają atakującym trwały, interaktywny dostęp do zainfekowanych stacji roboczych.

Tego typu działania są szczególnie groźne, ponieważ bazują na podpisanym i powszechnie używanym oprogramowaniu. W efekcie aktywność napastnika może przypominać rutynowe działania administratora lub zewnętrznego wsparcia IT, co znacząco utrudnia detekcję i reakcję.

W skrócie

Kampania oznaczona jako VENOMOUS#HELPER była obserwowana co najmniej od kwietnia 2025 roku i według ustaleń badaczy dotknęła ponad 80 organizacji, głównie w Stanach Zjednoczonych. Atak rozpoczyna się od wiadomości phishingowej podszywającej się pod amerykańską Social Security Administration.

  • Ofiara otrzymuje wiadomość nakłaniającą do pobrania rzekomego dokumentu.
  • Plik wykonywalny instaluje klienta SimpleHelp zamiast dokumentu.
  • Atakujący wdrażają następnie ScreenConnect jako dodatkowy kanał dostępu.
  • Charakter operacji wskazuje na motywację finansową oraz możliwe przygotowanie gruntu pod ransomware lub sprzedaż dostępu.

Kontekst / historia

Nadużywanie legalnych narzędzi zdalnego wsparcia nie jest nowym zjawiskiem, jednak w ostatnim czasie stało się wyraźnym trendem w kampaniach phishingowych i operacjach intruzyjnych. Dla zespołów bezpieczeństwa problem polega na tym, że ruch sieciowy, procesy i artefakty hostowe często wyglądają jak zwykła aktywność administracyjna.

Opisana operacja wpisuje się w szerszy model ataków, w których przestępcy wykorzystują zaufane narzędzia zamiast głośnych implantów. Szczególnie istotne jest tutaj równoczesne użycie dwóch platform zdalnego dostępu, co zwiększa odporność kampanii na wykrycie i utrudnia pełne usunięcie zagrożenia.

Analiza techniczna

Łańcuch ataku zaczyna się od wiadomości e-mail podszywającej się pod oficjalną korespondencję urzędową. Odbiorca jest zachęcany do weryfikacji adresu e-mail lub pobrania rzekomego zestawienia. Link prowadzi do legalnej, lecz skompromitowanej witryny, co pomaga ominąć część filtrów reputacyjnych.

Pobrany plik wykonywalny udaje dokument, ale w rzeczywistości instaluje klienta SimpleHelp. Według analizy próbka została opakowana przy użyciu JWrapper, a po uruchomieniu instaluje się jako usługa Windows. Mechanizm trwałości obejmuje działanie również w trybie awaryjnym oraz funkcję samonaprawy, która automatycznie restartuje komponent po jego zatrzymaniu.

Implant prowadzi także rozpoznanie środowiska bezpieczeństwa. Cyklicznie odpytuje przestrzeń WMI root\SecurityCenter2 w celu sprawdzenia, jakie produkty ochronne są obecne w systemie. Równocześnie monitorowana jest aktywność użytkownika, co może służyć do wyboru dogodnego momentu na dalsze działania operatora.

W celu rozszerzenia kontroli nad systemem klient SimpleHelp ma podnosić uprawnienia z użyciem SeDebugPrivilege przez AdjustTokenPrivileges. Dodatkowo wykorzystywany jest legalny komponent elev_win.exe do uzyskania poziomu SYSTEM. Taki dostęp umożliwia obserwację ekranu, symulowanie naciśnięć klawiszy, uruchamianie poleceń oraz operowanie na danych i zasobach sesyjnych.

Po ustanowieniu podstawowego kanału dostępu atakujący instalują również ConnectWise ScreenConnect. Takie podejście daje im architekturę nadmiarową: jeśli jeden kanał zostanie wykryty lub usunięty, drugi może nadal zapewniać dostęp do środowiska. To znacząco podnosi skuteczność kampanii i komplikuje proces reagowania.

Konsekwencje / ryzyko

Najważniejszym skutkiem takiej kompromitacji jest utrata kontroli nad punktem końcowym przy jednoczesnym ograniczeniu widoczności incydentu. Operator korzystający z legalnego klienta RMM może działać niemal tak samo jak uprawniony administrator, kopiując pliki, wykonując polecenia czy obserwując aktywność użytkownika.

  • kradzież danych uwierzytelniających i przejęcie kont,
  • przygotowanie środowiska pod ransomware,
  • eksfiltracja danych i naruszenie poufności,
  • ruch lateralny do kolejnych systemów,
  • opóźnienie reakcji SOC z powodu pozornie legalnej aktywności.

Szczególnie niebezpieczne jest to, że zainfekowana stacja może przez długi czas pełnić rolę ukrytego punktu wejścia. Nawet jeśli phishing zostanie wykryty z opóźnieniem, napastnik może już dysponować trwałym dostępem i możliwością powrotu do środowiska w dogodnym momencie.

Rekomendacje

Organizacje powinny traktować nieautoryzowaną instalację narzędzi RMM jako incydent wysokiego priorytetu. Skuteczna obrona wymaga połączenia kontroli aplikacyjnej, monitoringu behawioralnego i ścisłego nadzoru nad zdalnym dostępem.

  • Ograniczyć instalację narzędzi zdalnego wsparcia wyłącznie do zatwierdzonych produktów.
  • Wdrożyć application allowlisting dla stacji roboczych i serwerów.
  • Monitorować tworzenie usług Windows oraz nowych mechanizmów trwałości.
  • Korelować zdarzenia związane z WMI, eskalacją uprawnień i sesjami zdalnymi.
  • Budować listę autoryzowanych narzędzi helpdeskowych i alarmować każde odstępstwo.
  • Wzmocnić ochronę poczty elektronicznej oraz analizę linków i załączników.
  • Szkolić użytkowników w rozpoznawaniu wiadomości podszywających się pod instytucje publiczne.
  • Po wykryciu incydentu izolować host, resetować poświadczenia i sprawdzać skalę ruchu lateralnego.

Z perspektywy zespołów IR kluczowe jest założenie, że system z nieautoryzowanym klientem RMM był w pełni kontrolowany przez atakującego. Oznacza to potrzebę pełnego dochodzenia, a nie tylko usunięcia pojedynczej aplikacji.

Podsumowanie

Kampania VENOMOUS#HELPER potwierdza, że współczesny phishing coraz częściej prowadzi do instalacji legalnych narzędzi administracyjnych używanych ofensywnie. Połączenie SimpleHelp i ScreenConnect zapewnia napastnikom trwałość, redundancję i niski profil wykrywalności.

Dla obrońców najważniejszy wniosek jest jednoznaczny: sama reputacja pliku nie wystarcza. Nieautoryzowane narzędzia RMM należy traktować jak backdoory, a skuteczna reakcja wymaga szerokiej analizy środowiska oraz rygorystycznej kontroli zdalnego dostępu.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/05/phishing-campaign-hits-80-orgs-using.html
  2. Red Canary — You’re invited: Four phishing lures in campaigns dropping RMM tools — https://redcanary.com/blog/threat-intelligence/phishing-rmm-tools/
  3. Red Canary — Intelligence Insights: February 2026 — https://redcanary.com/blog/threat-intelligence/intelligence-insights-february-2026/
  4. Sophos — Incident responders, s’il vous plait: Invites lead to odd malware events — https://www.sophos.com/en-us/blog/incident-responders-s-il-vous-plait
  5. Sophos News — ConnectWise ScreenConnect attacks deliver malware — https://news.sophos.com/en-us/2024/02/23/connectwise-screenconnect-attacks-deliver-malware/