s0591-connectwise - RunkIntel

# ConnectWise > Tipo: **tool** · S0591 · [MITRE ATT&CK](https://attack.mitre.org/software/S0591) ## Descrição [[s0591-connectwise|ConnectWise]] (anteriormente ScreenConnect) é uma plataforma legítima e amplamente utilizada de administração remota e helpdesk de TI, com funcionalidades de acesso remoto, controle de desktop, transferência de arquivos e suporte técnico. Empresas de TI, MSPs (Managed Service Providers) e equipes de helpdesk corporativo dependem extensivamente do ConnectWise para suporte e manutenção de endpoints remotos - tornando sua presença nos sistemas monitorada muitas vezes insuficientemente. Adversários abusam do ConnectWise como ferramenta de acesso remoto persistente e de baixo perfil, pois o tráfego é indistinguível do uso legítimo para ferramentas básicas de monitoramento. O [[g0069-mango-sandstorm|MuddyWater]] (grupo iraniano) distribuiu versões maliciosas do ConnectWise a alvos via phishing, enquanto o [[g0115-gold-southfield|GOLD SOUTHFIELD]] o usou em campanhas de ransomware. O [[g1015-scattered-spider|Scattered Spider]] explorou conectividade via ConnectWise para social engineering e movimentação lateral em ambientes de suporte de TI de grandes corporações. Em 2024, uma vulnerabilidade crítica no ScreenConnect (CVE-2024-1709) permitiu autenticação bypass com CVSS 10.0, sendo explorada ativamente por múltiplos grupos de ransomware. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1125-video-capture|T1125 - Video Capture]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1113-screen-capture|T1113 - Screen Capture]] ## Grupos que Usam - [[g0115-gold-southfield|GOLD SOUTHFIELD]] - [[g0069-mango-sandstorm|MuddyWater]] - [[g1015-scattered-spider|Scattered Spider]] ## Relevância LATAM/Brasil O ConnectWise/ScreenConnect é usado por centenas de MSPs e empresas de TI no Brasil, tornando-o um alvo de abuso frequente. A exploração do CVE-2024-1709 (CVSS 10.0) afetou instâncias brasileiras do ScreenConnect, com grupos de ransomware como Black Basta e LockBit 3.0 utilizando a vulnerabilidade para comprometimento inicial de organizações brasileiras em fevereiro-março de 2024. O [[g1015-scattered-spider|Scattered Spider]] - ativo em social engineering contra helpdesks corporativos - usa ConnectWise em ataques que mimicam técnicos de suporte legítimos, técnica replicável contra o cenário brasileiro de terceirização de TI. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `ScreenConnect.ClientService.exe` ou `connectwisecontrol.client.exe` executando comandos de sistema (`cmd.exe`, `powershell.exe`) como processo filho - **Windows Event Log - Application:** Registros de instalação e acesso de ConnectWise em endpoints onde o produto não foi autorizado pelo departamento de TI - **Sysmon Event ID 3 (NetworkConnect):** Conexões de `ScreenConnect*.exe` para IPs/domínios fora da infraestrutura ConnectWise legítima - indicativo de instância não-autorizada **Regras de detecção:** - Sigma: `proc_creation_win_screenconnect_suspicious_child.yml` - ConnectWise gerando processos filhos suspeitos (cmd, powershell, mshta) - CISA Advisory AA24-057A: IOCs e regras de detecção para CVE-2024-1709 exploitation - Elastic: `remote_access_tool_execution` - detecção de RATs conhecidos incluindo ConnectWise ## Referências Adicionais - [MITRE ATT&CK - S0591](https://attack.mitre.org/software/S0591) - [CISA AA24-057A - ConnectWise ScreenConnect CVE-2024-1709 Exploitation](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-057a) - 2024-02-27 - [BleepingComputer - ScreenConnect Critical Vulnerability Exploited by Ransomware](https://www.bleepingcomputer.com/news/security/screenconnect-critical-bug-now-exploited-in-ransomware-attacks/) - 2024-02-22