Neue Phishing-Angriffe auf RMM-Tools: Wie Analysten Missbrauch vertrauenswürdiger Werkzeuge früh erkennen

Verwandeln Sie verdächtige Aktivitäten schneller

Verwandeln Sie verdächtige Aktivitäten schneller in klare Beweise, damit Ihr Team Bedrohungen validieren, Reaktionen priorisieren und Zeit für unsichere Warnungen nicht verschwenden. Stärken Sie die Erstbewertung jetzt.

Fall 2: Gefälschte OneDrive-Download-Seite führt zu ScreenConnect Eine weitere Kette nutzt einen geschützten Microsoft OneDrive-Download als Köder. Die Seite unter vmail.app.n8n.cloud zeigt eine „Zum Herunterladen verifizieren"-Anforderung für ein scheinbar PDF-Dokument. Nach dem Klick erhält der Nutzer ScreenConnect.ClientSetup.exe.

Gefälschte Microsoft OneDrive-Seite mit RMM-Installer, analysiert im ANY.RUN-Sandbox. Dies erschwert die Erstbewertung, da die Zielseite auf der legitimen Plattform n8n.cloud gehostet wird, während der RMM-Download und die Verbindung über die legitime ScreenConnect-Infrastruktur erfolgen.

Sicherheitslage und Risiko

In solchen Fällen kann die Erkennung nicht allein auf der Domain-Reputation basieren. Analysten müssen den Download-Kontext, das Ausführungsverhalten und RMM-bezogene Verbindungen prüfen. Fall 3: VBS-Skript installiert LogMeIn Rescue ScreenConnect ist nicht das einzige Werkzeug, das in diesen Angriffsketten eingesetzt wird.

Forscher von ANY.RUN haben ebenfalls den Missbrauch anderer legitimer RMM- und Fernzugriffstools beobachtet, darunter Datto RMM, ITarian, LogMeIn Rescue, Action1 RMM, NetSupport, Syncro, MeshAgent, SimpleHelp, RustDesk und Splashtop.

In einer Analyse wird dem Benutzer eine Phishing-Seite mit einer Lockvogel-Anzeige für den Download eines Adobe-Dokuments angezeigt. Statt der erwarteten Datei wird auf der Seite ein VBS-Skript bereitgestellt. Ein als Adobe-Acrobat-Installer getarntes VBS-Dokument wurde im ANY.RUN-Sandbox-Umfeld entdeckt.

Technik und Auswirkungen

Nach der Ausführung versucht das Skript, die Berechtigungen durch UAC zu erhöhen, SmartScreen zu deaktivieren und die Schutzmechanismen von Microsoft Defender zu schwächen.

Anschließend lädt es stillschweigend den Installer von LogMeIn Rescue herunter, entfernt das „Mark-of-the-Web"-Attribut und führt eine unauffällige Installation über msiexec durch, wodurch dem Endpunkt unbemerkt ein Fernzugriff auf das RMM-System gewährt wird.

Aus der Ambiguität von RMM-Tools machbare Beweise ableiten Phishing-Angriffe auf Remote-Management-Tools (RMM) lassen sich mit reinen traditionellen Erkennungsmethoden schwer validieren, da das finale Payload oft ein legitimes Remote-Access-Tool sein kann.

Sicherheitslage und Risiko

Eine Hash-Prüfung, eine Abfrage der Domain-Reputation oder ein statisches Urteil zeigen möglicherweise nicht das tatsächliche Risiko. Das bösartige Signal manifestiert sich in der Kette: der Phishing-Seite, der irreführenden Download-Veranlassung, dem Ausführungsfluss und der darauf folgenden Verbindung.

Eine Verhaltensanalyse innerhalb eines interaktiven Sandboxes macht diese Kette sichtbar.

Statt den RMM-Installer isoliert zu bewerten, können Analysten erkennen, wie er geliefert wurde, was dem Benutzer angezeigt wurde, was auf dem System ausgeführt wurde, ob Schutzmechanismen geschwächt wurden und welche Remote-Access-Verbindungen nach dem Start entstanden.

Sicherheitslage und Risiko

Für Analysten bedeutet dies: - Schnellere Triage durch klare Sichtbarkeit von URL-zu-Ausführung - Stärkere Validierung verdächtiger RMM-Aktivitäten - Weniger Zeitverlust durch Unsicherheiten wie „Legitimes Werkzeug oder Angriff?" - Effektivere Bedrohungsjagd durch Verhaltensweisen, Netzwerkaktivitäten und verwandte Indikatoren - Einfachere Übergabe durch Berichte mit Screenshots, Prozessaktivitäten, Netzwerkverbindungen und IOCs - Klärtere Eskalation, wenn RMM-Aktivitäten eingedämmt oder vertieft untersucht werden müssen Triage-Last reduzieren durch frühere Bedrohungs-Klarheit Für Teams, die sich mit Grauzonen-Angriffen wie Phishing-zu-RMM befassen, hängt die Geschwindigkeit vom Kontext ab.

Analysten müssen erkennen, wie die Bedrohung begann, was ausgeführt wurde, welche Verbindungen entstanden und ob ein vertrauenswürdiges Werkzeug missbraucht wird, bevor sie die richtige Entscheidung treffen können.

Teams, die ANY.RUN bereits einsetzen, berichten von messbaren Verbesserungen in SOC-Arbeitsabläufen, darunter: - Bis zu 20 % Reduktion der Tier-1-Arbeitslast - 30 % weniger Eskalationen von Tier 1 an Tier 2 - Verkürzung der MTTR (Mean Time to Respond) pro Fall um 21 Minuten - 94 % der Nutzer berichten von einer schnelleren Triage Durch die Verlagerung der Analyse in eine cloudbasierte Umgebung können Teams zudem die Kosten für die Hardware-Einrichtung senken, schnellere Bedrohungs-Einblicke erhalten und fundiertere Reaktionsentscheidungen treffen, bevor verdächtige Aktivitäten zu geschäftlichen Auswirkungen führen.

Sicherheitslage und Risiko

Erhalten Sie vollständige Transparenz über komplexe Angriffsabläufe, um Triage-Verzögerungen zu reduzieren, unnötige Eskalationen zu vermeiden und Ihr Team dabei zu unterstützen, Bedrohungen abzuwehren, bevor sie den Betrieb beeinträchtigen.

Der Beitrag „New Phishing-to-RMM Attacks: How Analysts Can Detect Trusted-Tool Abuse Early" erschien erstmals auf Cyber Security News.