Оферта за отстъпка за множество лицензи
База данни за заплахи Фишинг Фишинг кампания VENOMOUS#HELPER

Фишинг кампания VENOMOUS#HELPER

До Mezo през Фишингг
Превод на:

Сложна фишинг кампания, идентифицирана като VENOMOUS#HELPER, е активна поне от април 2025 г., насочена към множество вектори на атака чрез злоупотреба с легитимни инструменти за дистанционно наблюдение и управление (RMM). Засегнати са над 80 организации, предимно в Съединените щати. Дейността се припокрива с предварително документирани клъстери, известни като STAC6405. Въпреки че атрибуцията остава несигурна, оперативните модели силно съвпадат с финансово мотивирани Initial Access Brokers (IAB) или групи-предшественици на ransomware, които се стремят да установят опорни точки за по-късна експлоатация.

Да живееш с надеждни инструменти: Злоупотребата с легитимен RMM софтуер

Вместо да внедряват очевидно злонамерен софтуер, нападателите разчитат на персонализирани версии на легитимни инструменти като SimpleHelp и ConnectWise ScreenConnect. Тъй като тези приложения се използват често в корпоративни среди, тяхното присъствие често заобикаля традиционните контроли за сигурност и не предизвиква подозрение.

Едновременното внедряване на двата инструмента е умишлена тактика. Чрез установяване на двойни канали за отдалечен достъп, нападателите осигуряват оперативна устойчивост. Ако едната връзка бъде открита и неутрализирана, вторият канал остава активен, което позволява продължаващ неоторизиран достъп без прекъсване.

Входна точка за фишинг: Социално инженерство с надеждна маскировка

Веригата от атаки започва с внимателно съставен фишинг имейл, представящ се за Администрацията за социално осигуряване на САЩ (SSA). Съобщението призовава получателите да потвърдят имейл адреса си и да изтеглят предполагаемо извлечение от SSA чрез вградена връзка.

Забележително е, че линкът насочва жертвите към легитимен, но компрометиран уебсайт на мексикански бизнес, демонстрирайки умишлен опит за избягване на спам филтри и защити, базирани на репутация. Оттам жертвите биват пренасочвани към втори контролиран от нападателя домейн, който съдържа злонамерен полезен товар, маскиран като легитимен документ.

Доставка и съхранение на полезен товар: Инженеринг на дългосрочен достъп

След като бъде изтеглен, полезният товар, пакетиран като изпълним файл за Windows, инициира инсталирането на инструмента SimpleHelp RMM. Смята се, че нападателите са компрометирали cPanel акаунт на хостинг сървъра, за да импровизират злонамерения файл.

След изпълнение, зловредният софтуер установява устойчивост и устойчивост чрез няколко механизма:

  • Инсталиране като услуга на Windows с възможности за запазване в безопасен режим
  • Внедряване на самовъзстановяващ се наблюдател, който автоматично рестартира услугата, ако бъде прекратена
  • Редовно изброяване на инсталираните продукти за сигурност чрез пространството от имена root\SecurityCenter2 WMI на всеки 67 секунди
  • Непрекъснато наблюдение на потребителската активност на интервали от 23 секунди

Тези техники гарантират, че злонамереното присъствие остава активно, адаптивно и трудно за премахване.

Ескалация на привилегиите и пълен системен контрол

За да постигне пълен интерактивен контрол над компрометираната система, клиентът SimpleHelp повишава привилегиите, като придобива SeDebugPrivilege чрез AdjustTokenPrivileges. Освен това, легитимен компонент на софтуера, „elev_win.exe“, се използва за получаване на достъп на системно ниво.

Това повишено ниво на привилегии позволява на нападателите да:

  • Следене и заснемане на активността на екрана
  • Инжектиране на натискания на клавиши в реално време
  • Достъп до чувствителни ресурси в контекста на потребителя

Подобни възможности ефективно предоставят пълен контрол над средата на жертвата, без да задействат конвенционални предупреждения за сигурност.

Стратегия за резервен достъп: ScreenConnect като резервен канал

След установяването на основния канал за достъп, атакуващите внедряват ConnectWise ScreenConnect като вторичен механизъм за отдалечен достъп. Това гарантира устойчивост, дори ако първоначалната връзка със SimpleHelp бъде идентифицирана и блокирана.

Използването на множество легитимни инструменти подчертава многопластова стратегия за достъп, предназначена за издръжливост и скритост, което усложнява усилията за откриване и реагиране при инциденти.

Оперативно въздействие: Безшумен контрол под радара

Вградената версия на SimpleHelp (5.0.1) предоставя надежден набор от функции за дистанционно администриране. След като бъдат вградени в средата, нападателите получават възможността да действат свободно и дискретно. Компрометираната организация е изложена на непрекъсната експлоатация, тъй като нападателите могат да влязат отново в системата по свое желание.

Средата ефективно се превръща в контролиран актив, където нападателите могат да изпълняват команди безшумно, да прехвърлят файлове в двете посоки и да се движат странично през мрежата. Тъй като цялата активност изглежда произхожда от легитимно подписан софтуер, произведен от реномиран доставчик от Обединеното кралство, традиционните антивирусни и базирани на сигнатури защити често не успяват да открият проникването.

Заключение: План за съвременни прониквания

VENOMOUS#HELPER е пример за нарастващата тенденция на използване на легитимни административни инструменти за злонамерени цели. Чрез комбиниране на социално инженерство, злоупотреба с надежден софтуер и излишни механизми за достъп, кампанията постига постоянство, скритост и оперативна гъвкавост. Този подход подчертава спешната необходимост от поведенчески мониторинг, принципи на нулево доверие и засилен контрол върху използването на легитимни инструменти в корпоративни среди.

 

Тенденция

Най-гледан

Зареждане...