Rabattilbud med flere licenser
Trusseldatabase Phishing VENOMOUS#HELPER Phishing-kampagne

VENOMOUS#HELPER Phishing-kampagne

Med Mezo i Phishing
Oversæt til:

En sofistikeret phishing-kampagne, identificeret som VENOMOUS#HELPER, har været aktiv siden mindst april 2025 og er rettet mod flere angrebsvektorer gennem misbrug af legitime værktøjer til fjernovervågning og -styring (RMM). Mere end 80 organisationer, primært i USA, er blevet berørt. Aktiviteten overlapper med tidligere dokumenterede klynger kendt som STAC6405. Selvom tilskrivningen stadig er usikker, stemmer de operationelle mønstre stærkt overens med økonomisk drevne Initial Access Brokers (IAB'er) eller ransomware-forløbergrupper, der søger at etablere fodfæste til senere udnyttelse.

At leve af pålidelige værktøjer: Misbrug af legitim RMM-software

I stedet for at anvende åbenlyst skadelig software, bruger angriberne tilpassede versioner af legitime værktøjer som SimpleHelp og ConnectWise ScreenConnect. Da disse applikationer ofte bruges i virksomhedsmiljøer, omgår deres tilstedeværelse ofte traditionelle sikkerhedskontroller og undgår at vække mistanke.

Den samtidige implementering af begge værktøjer er en bevidst taktik. Ved at etablere dobbelte fjernadgangskanaler sikrer angriberne operationel robusthed. Hvis én forbindelse detekteres og neutraliseres, forbliver den anden kanal aktiv, hvilket tillader fortsat uautoriseret adgang uden afbrydelse.

Phishing-indgangspunkt: Social manipulation med en pålidelig forklædning

Angrebskæden begynder med en omhyggeligt udformet phishing-e-mail, der udgiver sig for at være den amerikanske socialsikringsadministration (SSA). Beskeden opfordrer modtagerne til at bekræfte deres e-mailadresse og downloade en angivelig SSA-erklæring via et integreret link.

Det er værd at bemærke, at linket leder ofrene til en legitim, men kompromitteret mexicansk virksomhedshjemmeside, hvilket demonstrerer en bevidst indsats for at omgå spamfiltre og omdømmebaseret forsvar. Derfra omdirigeres ofrene til et andet angriberkontrolleret domæne, som er vært for den ondsindede nyttelast forklædt som et legitimt dokument.

Nyttelastlevering og -vedholdenhed: Langsigtet adgang til ingeniørvirksomhed

Når den er downloadet, starter nyttelasten, pakket som en eksekverbar Windows-fil, installationen af SimpleHelp RMM-værktøjet. Angriberne menes at have kompromitteret en cPanel-konto på hostingserveren for at inficere den skadelige fil.

Efter udførelse etablerer malwaren persistens og robusthed gennem flere mekanismer:

  • Installation som en Windows-tjeneste med vedvarende funktioner i fejlsikret tilstand
  • Implementering af en selvreparerende vagthund, der automatisk genstarter tjenesten, hvis den afsluttes
  • Regelmæssig optælling af installerede sikkerhedsprodukter via root\SecurityCenter2 WMI-navneområdet hvert 67. sekund
  • Kontinuerlig overvågning af brugeraktivitet med intervaller på 23 sekunder

Disse teknikker sikrer, at den ondsindede tilstedeværelse forbliver aktiv, tilpasningsdygtig og vanskelig at udrydde.

Privilegieeskalering og fuld systemkontrol

For at opnå fuld interaktiv kontrol over det kompromitterede system eskalerer SimpleHelp-klienten privilegier ved at erhverve SeDebugPrivilege via AdjustTokenPrivileges. Derudover udnyttes en legitim komponent af softwaren, 'elev_win.exe', til at opnå adgang på SYSTEM-niveau.

Dette forhøjede privilegiumsniveau gør det muligt for angribere at:

  • Overvåg og optag skærmaktivitet
  • Indsæt tastetryk i realtid
  • Adgang til følsomme ressourcer inden for brugerens kontekst

Sådanne funktioner giver effektivt fuld kontrol over offerets miljø uden at udløse konventionelle sikkerhedsadvarsler.

Redundant adgangsstrategi: ScreenConnect som en reservekanal

Efter etableringen af den primære adgangskanal implementerer angribere ConnectWise ScreenConnect som en sekundær fjernadgangsmekanisme. Dette sikrer vedvarende funktion, selvom den oprindelige SimpleHelp-forbindelse identificeres og blokeres.

Brugen af flere legitime værktøjer fremhæver en lagdelt adgangsstrategi designet til holdbarhed og skjult beskyttelse, hvilket komplicerer detektion og hændelsesrespons.

Operationel påvirkning: Lydløs kontrol under radaren

Den implementerede SimpleHelp-version (5.0.1) tilbyder et robust sæt af fjernadministrationsfunktioner. Når angriberne er integreret i miljøet, får de mulighed for at operere frit og diskret. Den kompromitterede organisation er udsat for løbende udnyttelse, da angriberne kan genindtræde i systemet efter behag.

Miljøet bliver effektivt et kontrolleret aktiv, hvor modstandere kan udføre kommandoer lydløst, overføre filer i begge retninger og bevæge sig lateralt på tværs af netværket. Fordi al aktivitet tilsyneladende stammer fra legitimt signeret software produceret af en velrenommeret britisk leverandør, mislykkes traditionelle antivirus- og signaturbaserede forsvar ofte med at opdage indtrængen.

Konklusion: En plan for moderne indtrængen

VENOMOUS#HELPER eksemplificerer den voksende tendens til at udnytte legitime administrative værktøjer til ondsindede formål. Ved at kombinere social engineering, misbrug af betroet software og redundante adgangsmekanismer opnår kampagnen vedholdenhed, stealth og operationel fleksibilitet. Denne tilgang understreger det presserende behov for adfærdsovervågning, zero-trust-principper og øget kontrol med legitim værktøjsbrug i virksomhedsmiljøer.

 

Trending

Mest sete

Indlæser...