Mimecast 威胁研究团队在 Samantha Clarke 的带领下，揭露了一场自 2022 年以来持续至今的凭证窃取活动（编号 MCTO3030）。这场行动悄然针对 ScreenConnect 云端管理员，并与勒索软件活动存在密切联系——有强烈迹象表明，被窃取的凭证正被输送给勒索软件联盟，用于大规模攻击。

Mimecast 研究人员指出，该行动凭借“低频投递的分发方式展现出了极高的操作安全性，使其长期未被察觉”。

攻击者的目标极为明确：高级 IT 专业人员、系统管理员、主管，以及拥有 ScreenConnect 超级管理员权限的安全人员。这些凭证尤其危险，因为它们能“全面掌控整个组织的远程访问基础设施”。

在攻击手法上，攻击者通过 Amazon Simple Email Service (SES) 分发鱼叉式钓鱼邮件。这种方式借助了可信赖的基础设施，不仅投递率高、成本低，还让传统邮件过滤系统更难拦截。

攻击流程清晰分为几个阶段：

初始接触 —— 受害者收到鱼叉式钓鱼邮件，邮件常声称检测到可疑登录行为；社会工程 —— 邮件引导用户点击“查看安全”按钮；凭证窃取 —— 链接跳转至伪造的 ScreenConnect 门户网站，这些网站通常注册在相似的国家/地区顶级域名（ccTLD）下；中间人攻击 (AITM) —— 借助 EvilGinx 框架，攻击者能实时截获受害者的凭证和多因素认证 (MFA) 令牌；账号接管 —— 超级管理员账号被劫持；横向移动 —— 攻击者可以在多个终端部署恶意的 ScreenConnect 客户端。

Mimecast 解释称：“这些钓鱼页面利用 EvilGinx 框架实现了复杂的 AITM 攻击……攻击者因此能够绕过现代身份认证防护，并维持持久访问。”

更令人担忧的是，这场行动与勒索软件存在直接关联。根据 Mimecast 的说法，“Sophos 的研究表明，Qilin 勒索软件联盟同样盯上了 ScreenConnect，这暗示这些凭证窃取活动正作为勒索软件攻击的前期入口。”

一旦掌握超级管理员凭证，攻击者就能在整个组织范围内下发恶意的 ScreenConnect 实例，从而实现快速横向扩散与大规模勒索软件投放。

攻击者常使用带有 ScreenConnect 主题的 ccTLD 域名，进一步强化伪装的可信度。他们的基础设施运作有序，多年来的持续活动也证明这种方法依然奏效。

此外，Mimecast 指出，本次行动中使用的 Amazon SES 账号通常是通过窃取的凭证注册，或在地下市场购买的，这让检测难度更高。

这是一场 全球性攻击，不同行业、不同地区的组织都在被锁定，但攻击者始终精准聚焦于那批拥有最高 ScreenConnect 权限的人员。

Mimecast 总结道：“这场行动的长期性和与勒索软件的紧密关联，使其成为所有依赖 ScreenConnect 进行远程访问管理的组织必须高度警惕的重大威胁。”