Lunavaraoperaatorid kuritarvitavad Action1 RMM
Kaugseire ja -halduse (RMM) tööriistad, nagu Action1 RMM, on muutunud hallatavate teenusepakkujate (MSP) ja nende kliendibaasi jaoks üha atraktiivsemaks valikuks, kuna need võimaldavad kliendivõrkude lõpp-punktide kaughaldust, sealhulgas paigahaldust, turvatarkvara installimist ja tõrkeotsing. Kahjuks on nende tööriistade võimalused pälvinud ka ohus osalejate tähelepanu, kes nüüd kuritarvitavad neid, et kompromiteerida ettevõtte võrgustikke ja säilitada püsivust.
Sisukord
Ettevõtlusvõrgustikke kompromiteerivad ohustajad
Hiljutised turvafirmade teated ja teadlaste säutsud on toonud valgust Action1 RMM-i kuritarvitamisele lunavararünnakutes . Action1 abil saavad ohus osalejad käivitada käske, skripte ja binaarfaile, et vähendada pahavara tüvesid ohustatud masinates. Need toimingud nõuavad platvormis "poliitika" või "rakenduse" loomist, mis annab märku väärkasutusest, kui avastatakse käsureal täitmise ajal.
Vastuseks probleemile on Action1 rakendanud turvavärskendusi, nagu AI-filtreerimine, et skannida kasutajate tegevust kahtlaste käitumismustrite suhtes, tuvastada potentsiaalselt pahatahtlikke kontosid ja teavitada oma spetsiaalset turvameeskonda edasiseks uurimiseks.
Kostase säutsu toetavad tõendid
Vabatahtlike analüütikute grupi The DFIR Report liige Kostas säutsus lunavaraoperaatoritest, kes kuritarvitavad Action1 RMM-i platvormi, tuues välja võimaliku ohu selle süsteemi kasutamisel sageneda rünneteks. Nende väidete kinnitamiseks on olukorra selgemaks mõistmiseks vaja täiendavaid tõendeid.
TTP-d, mis meenutavad BlackBerry vahejuhtumitele reageerimise meeskonna uurimist
Täiendavad tõendid Kostase säutsu toetamiseks pärinevad BlackBerry vahejuhtumitele reageerimise meeskonna uurimisest Monti lunavaraga seotud juhtumi kohta. Sel juhul kasutasid ohus osalejad Log4Shelli haavatavust , et tungida kliendi VMware Horizon virtualiseerimissüsteemi. Ründajad krüpteerisid kasutajate töölaudu ja servereid ning eelkõige laadisid alla ja installisid kaks kaugseire ja hoolduse (RMM) agenti, sealhulgas Action1.
Teadlased usuvad, et ründajad kasutasid RMM-i tarkvara võrgus püsivuse tagamiseks ja täiendava kaugjuurdepääsu hõlbustamiseks, mistõttu on see esimene teadaolev intsident, mis sellisel viisil Action1 võimendas. See taktika, mida Conti operaatorid varem kasutasid, näitab küberkurjategijate arengut ja kohanemist, kes kasutavad oma pahatahtlike tegevuste läbiviimiseks ära seadusliku RMM-tarkvara, nagu Action1, mitmekülgsust.
Toiming 1 Pahatahtliku kasutamise vastu võitlemine
Action1 tegeleb aktiivselt probleemiga, et lunavaraoperaatorid kuritarvitavad nende kaugseire ja -halduse (RMM) toodet. Ettevõte on rakendanud erinevaid turbeuuendusi, et võidelda oma platvormi pahatahtliku kasutamisega, pakkudes samas oma kasutajaskonnale tõhusaid kaughalduslahendusi.
Turvauuenduste kasutamine, tehisintellekti filtreerimine
Üks Action1 rakendatud turvameetmetest on AI-filtreerimise kasutamine. See tehnoloogia kontrollib kasutaja tegevust kahtlaste käitumismustrite suhtes ja tuvastab tõhusalt potentsiaalselt pahatahtlikud kontod. Tehisintellekti võimeid võimendades püüab Action1 vähendada ohtu, et ohus osalejad võivad nende platvormi lunavararünnakuteks ära kasutada.
Monti Ransomware tüvi
Monti on suhteliselt uus lunavara tüvi, mida eksperdid peavad Conti perekonna uuemaks variandiks. Seda tüve on täheldatud taktika abil, mis muutis selle eelkäija Conti küberruumis oluliseks ohuks.
Conti perekonna uuem variant
Monti on pärinud paljud taktikad, mis muutsid Conti tõsiseks ohuks , sealhulgas kaughaldustarkvara kuritarvitamise lunavararünnakute algatamiseks. Monti lunavaraoperaatorid on osutunud kohanemisvõimeliseks Conti perekonna edukate lähenemisviiside kasutuselevõtul.
Kaughaldustarkvara kuritarvitamine
Conti oli kurikuulus seadusliku kaughaldustarkvara (nt AnyDesk) ärakasutamise poolest, et saada võrkudele volitamata juurdepääsu ja hõlbustada nende rünnakuid. Monti on järginud sarnast lähenemisviisi, hiljutiste juhtumitega, mis on seotud Action1 RMM-i kuritarvitamisega, mida hallatavad teenusepakkujad kasutavad lõpp-punkti kaughalduseks kliendivõrkudes.
Võimalik seos Conti ja Monti Gangsi vahel
Täpne seos Conti ja Monti lunavaraoperaatorite vahel jääb ebaselgeks. Nende taktikate, tehnikate ja protseduuride sarnasused viitavad aga sellele, et Monti taga olevad kurjategijad võisid olla Conti jõugu mõjutatud või sellega otseselt seotud. Olenemata ühendusest kujutab Monti lunavaratüve ja tõestatud taktika kombinatsioon olulist ohtu ettevõtetele ja nende süsteemidele.