yankywilson/screenconnect-rogue-tenant-investigation

# 恶意 ConnectWise ScreenConnect 租户活动调查 **状态：** 调查完成。在协调的滥用举报行动后，该活动正处于崩溃中期。 **TLP：** CLEAR — 已清理以供公开发布。所有 IOC 均已做脱敏处理。 **报告人：** YWilson ([@yankywilson](https://github.com/yankywilson)) ## 摘要 一名讲俄语的大众化层级攻击者运行了恶意的 ConnectWise ScreenConnect SaaS 租户，通过多阶段钓鱼链获取对受害者 Windows 机器的完全远程访问权限。本调查记录了以下内容： - 从钓鱼邮件到 MSI 安装程序再到实时 C2 的完整杀伤链 - 识别出两个攻击者集群（`c3g0hr`、`spg0rz`）以及同属一个工具包家族的大约十个同级租户 - 跨三个司法管辖区的攻击者基础设施（俄罗斯、罗马尼亚、OVH SaaS 分片） - 针对整个工具包家族的新型网络层检测特征 - 通过协调滥用渠道进行打击，迫使该活动下线 **归因上限：** 经 Huntress（2026年）和 NCC Group（2025年10月）记录的恶意 ScreenConnect 工具包生态系统中，尚未明确身份的讲俄语的大众化攻击者。目前没有公开归因指向任何已命名的威胁组织。攻击者的个人身份信息受限于法律程序获取——超出了 OSINT 的范围。 ## 仓库内容 | 路径 | 描述 | |---|---| | [`writeup/full-report.pdf`](writeup/full-report.pdf) | **完整的 21 页 CTI 案件档案**（建议优先阅读） | | [`writeup/blog-post.md`](writeup/blog-post.md) | 博客格式的叙述性摘要 | | [`detection-rules/screenconnect-rogue-tenant.rules`](detection-rules/screenconnect-rogue-tenant.rules) | Suricata 检测规则（明文中继协议签名） | | [`detection-rules/screenconnect-rogue-tenant.yml`](detection-rules/screenconnect-rogue-tenant.yml) | Sigma 检测规则 | | [`iocs/iocs.csv`](iocs/iocs.csv) | 机器可读的脱敏 IOC 列表 | | [`iocs/iocs.md`](iocs/iocs.md) | 人工可读的 IOC 参考 | ## 杀伤链摘要 ``` [1] Phishing email ↓ [2] Fake Microsoft Teams update page → AWS S3 bucket: teams[.]live ↓ [3] ClickFix social engineering → Victim pastes cmd into Run dialog ↓ [4] curl downloads MSI → documentsharefiles[.]com (Cloudflare) ↓ backed by 5[.]8[.]11[.]68 (PINDC-AS, RU) [5] msiexec installs ScreenConnect → Tenant: c3g0hr ↓ Relay: instance-c3g0hr-relay[.]screenconnect[.]com [6] Operator gains full remote access + [7] Secondary C2 callout → i8reactorsee[.]xyz (85[.]122[.]114[.]130, RO) ``` ## 主要发现 ### 新型检测特征 TCP/443 上的 ScreenConnect 中继协议**不是 TLS**——它是一种自定义二进制协议，在第一个数据包中以明文形式发送租户别名。这使得它无需 TLS 拦截即可在网络层被检测到，并且适用于整个工具包家族，而不仅仅是该攻击者。请参阅 [`detection-rules/`](detection-rules/) 获取可用的 Suricata 和 Sigma 规则。 ### 攻击者 OPSEC 特征 - 使用 Cloudflare 前置的诱饵域名来掩盖真实的后端 - 通过经销商 (BPW Host) 租用主机，而非直接与上游提供商合作 - 配置 `SERVER_ADMIN = [no address given]`——故意不在默认 Apache 配置中留下攻击者电子邮件 - **失败之处：** 在 `/info.php` 处暴露了 `phpinfo()`，泄露了 BPW Host 客户主机名 `s125671.bpwhost[.]com` - **失败之处：** 留下了开放的目录列表，暴露了暂存文件和子目录结构 ### 活动基础设施状态（2026年5月3日） | 资产 | 状态 | |---|---| | `documentsharefiles[.]com` | 已失效——注册局级别的 NXDOMAIN | | `i8reactorsee[.]xyz` | 已被接管——解析至 `127[.]171[.]0[.]1` | | `5[.]8[.]11[.]68` | 存活——仍在提供服务（已提交滥用举报） | | `instance-c3g0hr-relay[.]screenconnect[.]com` | 存活——活跃的中继（已提交滥用举报） | ## 本调查的贡献 1. **工具包家族枚举**——记录了至少十个租户（`c3g0hr`、`spg0rz`/`oprr`、`xevcqt`、`oo2rxt`、`o3ts3k`、`rebjno`、`gqd65v`、`goodlog.site` 集群、`snesgamer.com` 集群、标记为 `NEWBEGINNING` 的租户）。 2. **跨司法管辖区的基础设施映射**——识别了位于俄罗斯 (PINDC-AS)、罗马尼亚以及 OVH ScreenConnect SaaS 分片上的攻击者控制主机，并通过配置错误的 phpinfo 页面泄露了 BPW Host 客户 ID。 3. **新型网络检测**——明文中继协议签名无需 TLS 拦截即可对抗整个工具包家族。建议纳入社区 Sigma/Suricata 规则库。 4. **协调的滥用举报**——向 ConnectWise、BPW Host、AWS、Dropbox 提交了报告，加上研究人员与 Huntress 和 NCC Group 的联系，促成了对该工具包家族更广泛的打击。 ## 现实的局限性 本次调查已达到针对谨慎的大众化层级讲俄语攻击者的 OSINT 归因上限。对于针对此类攻击者配置文件的独立研究而言，该上限是标准的专业结果。具体而言： - **未发现攻击者个人身份。** 攻击者的姓名仅存在于 ConnectWise、BPW Host、域名注册商、用于 OPSEC 的 VPN 提供商以及 PINDC-AS 掌握的记录中——所有这些均需通过法律程序获取。 - **不支持任何已命名的威胁组织归因。** 该活动在 TTP 和时间上与 Huntress 和 NCC Group 的工具包家族报告相符，但没有公开报告指出具体的威胁行为者。 - **调查期间修正了一些早期的推断。** 这些修正记录在完整报告的附录 C 中，并未被隐瞒——这就是专业的 CTI 校准应有的样子。 ## 如何使用本仓库 **网络防御者：** 从 [`iocs/iocs.csv`](iocs/iocs.csv) 获取屏蔽列表素材。在网络出口处实施 [`detection-rules/`](detection-rules/) 中的规则。参阅完整报告 ([`writeup/full-report.pdf`](writeup/full-report.pdf)) 了解背景信息。 **威胁情报团队：** 将租户别名和 ProductCode/UpgradeCode 值与您现有的工具包家族追踪进行交叉比对。完整报告的附录 A 包含带有背景信息的完整 IOC 列表。 **其他研究人员：** 所有发现均开放供社区使用。如果您在此基础上进行扩展，感谢但非强制要求署名。我乐于接受合作与指正——请提出 Issue。 ## 联系方式 - **GitHub Issues：** 在此仓库中提出 Issue，用于提问、指正或合作 - **电子邮件：** 请参阅个人资料 ## 许可证 本仓库的代码和检测规则基于 [MIT License](LICENSE) 发布，报告和文档基于 [CC BY 4.0](https://creativecommons.org/licenses/by/4.0/) 发布。可自由使用；感谢署名。 ## 致谢 - **Huntress**，感谢其对恶意 ScreenConnect 租户生态系统的公开报告 - **NCC Group**，感谢其在 2025 年 10 月对 SEO 投毒活动的分析，为本次独立调查提供了方向指引 - **abuse.ch、Censys、Recorded Future Triage 以及更广泛的 OSINT 社区**，感谢其提供促成此项工作的平台和数据集

标签：C2通信, ConnectWise, Conpot, DAST, ESC4, IOC, IP 地址批量处理, Metaprompt, OSINT, RMM滥用, ScreenConnect, Suricata, Windows安全, 入侵指标, 威胁情报, 安全调查报告, 库, 应急响应, 开发者工具, 恶意基础设施, 恶意软件分析, 搜索语句（dork）, 攻击溯源, 数字取证, 检测规则, 现代安全运营, 网络信息收集, 网络威胁情报, 网络安全, 网络资产发现, 自动化脚本, 远控木马, 远程控制软件滥用, 隐私保护