Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Phishing VENOMOUS#HELPER Phishing-Kampagne

VENOMOUS#HELPER Phishing-Kampagne

Von Mezo in Phishing
Übersetzen Sie in:

Eine ausgeklügelte Phishing-Kampagne mit dem Namen VENOMOUS#HELPER ist seit mindestens April 2025 aktiv und nutzt verschiedene Angriffsvektoren durch den Missbrauch legitimer Remote-Monitoring- und Management-Tools (RMM). Mehr als 80 Organisationen, vorwiegend in den USA, sind betroffen. Die Aktivitäten überschneiden sich mit bereits dokumentierten Clustern namens STAC6405. Obwohl die Zuordnung noch unklar ist, deuten die Vorgehensweisen stark auf finanziell motivierte Initial Access Broker (IABs) oder Ransomware-Vorläufergruppen hin, die versuchen, sich Zugangspunkte für spätere Angriffe zu verschaffen.

Ausnutzen bewährter Werkzeuge: Der Missbrauch legitimer RMM-Software

Anstatt offensichtlich schädliche Software einzusetzen, nutzen die Angreifer angepasste Versionen legitimer Tools wie SimpleHelp und ConnectWise ScreenConnect. Da diese Anwendungen in Unternehmensumgebungen weit verbreitet sind, umgehen sie oft herkömmliche Sicherheitskontrollen und erregen keinen Verdacht.

Der gleichzeitige Einsatz beider Tools ist eine bewusste Taktik. Durch die Einrichtung zweier Fernzugriffskanäle gewährleisten die Angreifer die operative Stabilität. Wird eine Verbindung erkannt und neutralisiert, bleibt der zweite Kanal aktiv und ermöglicht so den fortgesetzten unautorisierten Zugriff ohne Unterbrechung.

Phishing-Einstiegspunkt: Social Engineering mit einer vertrauenswürdigen Tarnung

Die Angriffskette beginnt mit einer sorgfältig gestalteten Phishing-E-Mail, die den Anschein erweckt, von der US-amerikanischen Sozialversicherungsbehörde (SSA) zu stammen. Die Nachricht fordert die Empfänger auf, ihre E-Mail-Adresse zu bestätigen und über einen eingebetteten Link eine angebliche SSA-Abrechnung herunterzuladen.

Der Link führt die Opfer auf die legitime, aber kompromittierte Website eines mexikanischen Unternehmens. Dies deutet auf den gezielten Versuch hin, Spamfilter und reputationsbasierte Schutzmaßnahmen zu umgehen. Von dort werden die Opfer auf eine zweite, vom Angreifer kontrollierte Domain weitergeleitet, die die als legitimes Dokument getarnte Schadsoftware enthält.

Nutzlastübertragung und -persistenz: Entwicklung eines langfristigen Zugriffs

Nach dem Herunterladen initiiert die als Windows-Programm verpackte Schadsoftware die Installation des SimpleHelp RMM-Tools. Es wird vermutet, dass die Angreifer ein cPanel-Konto auf dem Hosting-Server kompromittiert haben, um die schädliche Datei dort zu platzieren.

Nach der Ausführung etabliert die Schadsoftware Persistenz und Widerstandsfähigkeit durch verschiedene Mechanismen:

  • Installation als Windows-Dienst mit Persistenzfunktionen im abgesicherten Modus
  • Bereitstellung eines selbstheilenden Überwachungssystems, das den Dienst bei Beendigung automatisch neu startet.
  • Regelmäßige Auflistung der installierten Sicherheitsprodukte über den WMI-Namespace root\SecurityCenter2 alle 67 Sekunden
  • Kontinuierliche Überwachung der Benutzeraktivität in 23-Sekunden-Intervallen

Diese Techniken gewährleisten, dass die schädliche Präsenz aktiv, anpassungsfähig und schwer zu beseitigen bleibt.

Rechteausweitung und vollständige Systemkontrolle

Um die vollständige interaktive Kontrolle über das kompromittierte System zu erlangen, erweitert der SimpleHelp-Client seine Berechtigungen, indem er über AdjustTokenPrivileges die SeDebugPrivilege-Berechtigung erwirbt. Zusätzlich wird eine legitime Komponente der Software, „elev_win.exe“, genutzt, um Systemzugriff zu erhalten.

Diese erhöhte Berechtigungsstufe ermöglicht Angreifern Folgendes:

  • Bildschirmaktivität überwachen und aufzeichnen
  • Tastatureingaben in Echtzeit einfügen
  • Zugriff auf sensible Ressourcen im Kontext des Benutzers

Solche Fähigkeiten ermöglichen die vollständige Kontrolle über die Umgebung des Opfers, ohne herkömmliche Sicherheitswarnungen auszulösen.

Redundante Zugriffsstrategie: ScreenConnect als Ausweichkanal

Nachdem der primäre Zugriffskanal eingerichtet wurde, setzen Angreifer ConnectWise ScreenConnect als sekundären Fernzugriffsmechanismus ein. Dies gewährleistet die Persistenz des Zugriffs, selbst wenn die anfängliche SimpleHelp-Verbindung identifiziert und blockiert wird.

Die Verwendung mehrerer legitimer Tools verdeutlicht eine mehrschichtige Zugriffsstrategie, die auf Langlebigkeit und Unauffälligkeit ausgelegt ist und die Erkennung sowie die Reaktion auf Sicherheitsvorfälle erschwert.

Operative Auswirkungen: Stille Steuerung unter dem Radar

Die eingesetzte SimpleHelp-Version (5.0.1) bietet umfangreiche Funktionen zur Fernadministration. Sobald Angreifer in die Systemumgebung eingeschleust sind, können sie ungehindert und unbemerkt agieren. Das kompromittierte Unternehmen ist weiterhin anfällig für Angriffe, da die Angreifer jederzeit wieder Zugriff auf das System erlangen können.

Die Umgebung wird so zu einem kontrollierten Bereich, in dem Angreifer unbemerkt Befehle ausführen, Dateien in beide Richtungen übertragen und sich lateral im Netzwerk bewegen können. Da alle Aktivitäten scheinbar von legitim signierter Software eines renommierten britischen Anbieters stammen, erkennen herkömmliche Antivirenprogramme und signaturbasierte Schutzmaßnahmen den Eindringling oft nicht.

Fazit: Ein Entwurf für moderne Übergriffe

VENOMOUS#HELPER verdeutlicht den zunehmenden Trend, legitime administrative Tools für böswillige Zwecke zu missbrauchen. Durch die Kombination von Social Engineering, dem Missbrauch vertrauenswürdiger Software und redundanten Zugriffsmechanismen erreicht die Kampagne Persistenz, Tarnung und operative Flexibilität. Dieser Ansatz unterstreicht die dringende Notwendigkeit von Verhaltensüberwachung, Zero-Trust-Prinzipien und einer verstärkten Überprüfung der Nutzung legitimer Tools in Unternehmensumgebungen.

 

Im Trend

Am häufigsten gesehen

Wird geladen...