Attacco mirato a MSP ScreenConnect: gli affiliati di Qilin colpiscono con spear-phishing

L'attacco corrisponde a uno schema triennale di attacchi ScreenConnect tracciato da Sophos MDR come STAC4365

Security Operations Threat Research adversary in the middle featured MFA MFA phishing qilin RMM ScreenConnect supply chain compromise

Alla fine di gennaio 2025, un amministratore di un Managed Service Provider (MSP) ha ricevuto un’e-mail di phishing ben confezionata che sembrava contenere un avviso di autenticazione per il suo strumento di monitoraggio e gestione remota (RMM) ScreenConnect. L’e-mail ha permesso agli attori del ransomware Qilin di ottenere le credenziali dell’amministratore e di lanciare attacchi ransomware ai clienti dell’MSP.

Il team di threat intelligence di Sophos MDR valuta con elevata affidabilità che questo incidente possa essere attribuito a un affiliato di ransomware la cui attività è tracciata da Sophos come STAC4365. L’attacco ha utilizzato infrastrutture, modelli di denominazione dei domini, tecniche, strumenti e pratiche simili a quelli impiegati in altre campagne di phishing individuate dall’unità di intelligence sui rischi di Sophos MDR e risalenti alla fine del 2022. Quegli attacchi hanno sfruttato siti di phishing creati con il framework open-source Evilginx per attacchi “adversary-in-the-middle” al fine di raccogliere credenziali e cookie di sessione e aggirare l’autenticazione a più fattori (MFA).

In questo caso, come in altri legati a questo cluster di minacce, gli aggressori hanno utilizzato domini ScreenConnect falsi come proxy al processo di login effettivo di ScreenConnect. Dopo aver fatto clic sul link di accesso contenuto nell’e-mail per verificare l’autenticazione, l’amministratore è stato reindirizzato a un sito di phishing dannoso, cloud.screenconnect[.]com.ms, che fingeva di essere la pagina di accesso legittima. Una volta inserite le proprie credenziali nel falso sito ScreenConnect, gli aggressori sono stati in grado di intercettare tali input. Sophos ritiene che il falso sito di ScreenConnect abbia inviato gli input al sito legittimo per verificare le credenziali e intercettare la password monouso a tempo (TOTP) trasmessa da ScreenConnect all’amministratore via e-mail.

Leggi tutto l’articolo.

L'autore

Anthony Bradshaw

Anthony is responsible for the global MDR incident response team at Sophos. He leads a team of highly skilled incident responders who investigate, contain, and neutralize attacks. Anthony has a decade of experience in IT and cybersecurity, and holds multiple industry certifications including GSOM, GCFE, and CySA+.

Colin Cowie

Colin is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, focusing on threat actor identification, incident response and working alongside detection engineers to address emerging threats. In past roles he worked in the financial sector performing internal and external penetration testing.

Hunter Neal

Hunter Neal is a Senior Incident Response Lead for Sophos MDR. Prior to joining Sophos, he was a system administrator for Textron Aviation. Hunter's cybersecurity journey began in college, at The Pennsylvania State University, where he holds a Bachelor's degree in both Information Systems and Cybersecurity, as well as a GCFE certification. In his spare time he enjoys Disc Golf, lifting weights, toying with his cars, and video games.

Neal Rajguru

Neal Rajguru is an Incident Response lead for Sophos X-Ops’ IR team, specializing in the effective handling of multiple incidents, spearheading root cause analysis to avert future incidents, and coordinating with relevant stakeholders throughout the incident lifecycle.

Sean Gallagher

Sean Gallagher is Principal Threat Researcher, Sophos X-Ops. Prior to joining Sophos, he was an information security and technology journalist for over 30 years, including 10 as information security and national security editor for Ars Technica.