SILENTCONNECT
Az Elastic Security Labs által leírt SILENTCONNECT kampány egy modern, többfázisú malware-loader működését mutatja be, amelynek elsődleges célja nem önálló kártékony kód futtatása, hanem egy legitim távelérési eszköz, a ConnectWise ScreenConnect rejtett telepítése és visszaélésszerű használata.
A fertőzési lánc erősen épít pszichológia megtévesztésre az áldozatokat hamis digitális meghívóval egy Cloudflare CAPTCHA oldalra irányítják, ahonnan egy VBScript töltődik le. Ennek futtatása után a támadás fileless irányba halad, a script PowerShell segítségével C# kódot tölt le és memóriában fordít és futtat, így elkerülve a klasszikus fájlalapú detekciót.
A SILENTCONNECT loader fő funkciója a ScreenConnect telepítése, amely egy legitim RMM eszköz, de ebben az esetben RAT-ként működik, teljes hands-on-keyboard hozzáférést biztosítva a támadónak.
A kampány kulcs TTP-i közé tartozik a living-off-the-land megközelítés, a PEB masquerading, valamint UAC bypass és Defender-kikerülés, amelyek együtt jelentősen csökkentik az észlelhetőséget. Emellett a támadók megbízható infrastruktúrát használnak a payloadok terjesztésére, ami tovább nehezíti a forgalom szűrését.
