Selon Mimecast (Threat Research), une campagne de hameçonnage ciblé MCTO3030 vise spécifiquement les administrateurs cloud de ScreenConnect afin de dérober des identifiants de super administrateur. Les messages de spear phishing, envoyés à faible volume pour rester discrets, ciblent des profils IT seniors et redirigent vers de faux portails ScreenConnect, avec une connexion probable à des opérations de ransomware (affiliés Qilin), permettant un mouvement latéral rapide via le déploiement de clients ScreenConnect malveillants.

Infrastructures et TTPs clés observés:

  • Vecteur d’envoi: abus d’Amazon SES (comptes compromis ou achetés), forte délivrabilité ✅
  • Phishing AITM: utilisation d’EvilGinx pour intercepter identifiants et codes MFA en temps réel, contournant l’authentification moderne
  • Usurpation: ccTLDs et thématiques ConnectWise/ScreenConnect, portails factices très convaincants
  • Ciblage: directeurs, managers, admins et sécurité avec privilèges élevés dans ScreenConnect
  • Objectif: vol d’identifiants super admin pour contrôle des accès à distance et potentielle distribution de ransomware

Flux de la campagne:

  1. E-mails de spear phishing via SES à des professionnels IT ciblés
  2. Prétextes de connexion suspecte sur ScreenConnect pour inciter au clic
  3. Redirection vers des faux portails ScreenConnect (ccTLD)
  4. AITM EvilGinx capture identifiants et MFA en direct
  5. Compromission de comptes super admin ScreenConnect
  6. Mouvement latéral: déploiement d’outils/clients malveillants et préparation au ransomware

IOCs et éléments d’infrastructure:

  • Domaines: connectwise.com.ar, connectwise.com.be, connectwise.com.cm, connectwise.com.do, connectwise.com.ec, et d’autres domaines thématiques ScreenConnect en ccTLD
  • Caractéristiques: envoi via Amazon SES, kits de phishing EvilGinx, imitation de marque ConnectWise/ScreenConnect, modèles de noms récurrents sur plusieurs années

Recommandations (selon Mimecast):

  • Sensibilisation: formations ciblées sur le phishing ScreenConnect et l’AITM, simulations régulières
  • Contrôles techniques: accès conditionnel restreint aux appareils gérés, MFA résistant au phishing (FIDO2/WebAuthn), journalisation renforcée et surveillance des activités admin inhabituelles
  • Threat hunting: recherche d’e-mails/domaines IOC, surveillance d’authentifications anormales, revue des logs d’audit admin ScreenConnect
  • Sécurité e-mail: cartographier l’usage d’Amazon SES, protection avancée des URL contre l’AITM, vérifications accrues des e-mails signalant des incidents

Il s’agit d’une analyse de menace publiée par Mimecast visant à documenter une campagne de collecte d’identifiants liée à ScreenConnect, fournir des IOCs/TTPs et éclairer la détection et la prévention.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 - Spear Phishing Link’, ‘T1589.001 - Phishing for Information’, ‘T1071.003 - Application Layer Protocol: Mail Protocols’, ‘T1556.002 - Steal or Forge Authentication Tokens’, ‘T1078 - Valid Accounts’, ‘T1021.001 - Remote Services: Remote Desktop Protocol’, ‘T1563 - Remote Service Session Hijacking’, ‘T1573 - Encrypted Channel’, ‘T1105 - Ingress Tool Transfer’, ‘T1078.004 - Valid Accounts: Cloud Accounts’, ‘T1090.002 - Proxy: External Proxy’]

IOC

[‘connectwise.com.ar’, ‘connectwise.com.be’, ‘connectwise.com.cm’, ‘connectwise.com.do’, ‘connectwise.com.ec’]

🔗 Source originale : https://www.mimecast.com/threat-intelligence-hub/screenconnect-super-admin-credential/