Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Andmepüük MÜRGINE#ABISTAJA andmepüügikampaania

MÜRGINE#ABISTAJA andmepüügikampaania

Aastaks Mezo aastal Andmepüük
Tõlgi:

Keerukas andmepüügikampaania, mida identifitseeritakse kui VENOMOUS#HELPER, on olnud aktiivne vähemalt 2025. aasta aprillist alates, sihtides mitmeid rünnakuvektoreid seaduslike kaugseire ja -halduse (RMM) tööriistade kuritarvitamise kaudu. Mõjutatud on enam kui 80 organisatsiooni, peamiselt Ameerika Ühendriikides. Tegevus kattub varem dokumenteeritud klastritega, mida tuntakse kui STAC6405. Kuigi omistamine on endiselt ebaselge, on tegevusmustrid tugevalt seotud finantsiliselt orienteeritud esmase juurdepääsu vahendajatega (IAB) või lunavara eelkäijate rühmitustega, kes püüavad luua tugipunkte hilisemaks ärakasutamiseks.

Usaldusväärsetest tööriistadest elamine: seadusliku RMM-tarkvara kuritarvitamine

Ilmselgelt pahatahtliku tarkvara juurutamise asemel tuginevad ründajad legitiimsete tööriistade, näiteks SimpleHelpi ja ConnectWise ScreenConnecti, kohandatud versioonidele. Kuna neid rakendusi kasutatakse sageli ettevõttekeskkondades, möödub nende olemasolu sageli traditsioonilistest turvakontrollidest ja hoiab ära kahtluste tekitamise.

Mõlema tööriista samaaegne juurutamine on teadlik taktika. Kahe kaugjuurdepääsukanali loomisega tagavad ründajad operatiivse vastupidavuse. Kui üks ühendus tuvastatakse ja neutraliseeritakse, jääb teine kanal aktiivseks, võimaldades volitamata juurdepääsu katkestusteta.

Andmepüügi sisenemispunkt: sotsiaalne manipuleerimine usaldusväärse maskeeringuga

Rünnakuahel algab hoolikalt koostatud andmepüügimeiliga, mis teeskleb USA sotsiaalkindlustusameti (SSA) nime. Sõnumis kutsutakse saajaid üles oma e-posti aadressi kinnitama ja väidetava SSA avalduse alla laadima manustatud lingi kaudu.

Tähelepanuväärne on see, et link suunab ohvrid legitiimsele, kuid ohustatud Mehhiko ettevõtte veebisaidile, mis näitab tahtlikku püüdlust rämpspostifiltrite ja mainepõhiste kaitsemehhanismide vältimiseks. Sealt suunatakse ohvrid teisele ründaja kontrollitavale domeenile, mis majutab pahatahtlikku sisu, mis on maskeeritud legaalseks dokumendiks.

Kasuliku koormuse kohaletoimetamine ja püsivus: pikaajalise juurdepääsu projekteerimine

Pärast allalaadimist käivitab Windowsi käivitatava failina pakendatud kasulik fail SimpleHelp RMM tööriista installimise. Arvatakse, et ründajad on pahatahtliku faili levitamiseks rikkunud hostiserveri cPaneli kontot.

Pärast pahavara käivitamist saavutab see püsivuse ja vastupidavuse mitme mehhanismi kaudu:

  • Paigaldamine Windowsi teenusena turvarežiimi püsivusvõimalustega
  • Isetervendava valvekoera juurutamine, mis teenuse lõpetamisel automaatselt taaskäivitab
  • Installitud turvatoodete regulaarne loendamine root\SecurityCenter2 WMI nimeruumi kaudu iga 67 sekundi järel
  • Kasutajategevuse pidev jälgimine 23-sekundiliste intervallidega

Need meetodid tagavad, et pahatahtlik kohalolek jääb aktiivseks, kohanemisvõimeliseks ja raskesti likvideeritavaks.

Õiguste eskaleerimine ja täielik süsteemikontroll

Täieliku interaktiivse kontrolli saavutamiseks ohustatud süsteemi üle laiendab SimpleHelpi klient õigusi, omandades SeDebugPrivilege'i AdjustTokenPrivileges'i kaudu. Lisaks kasutatakse tarkvara legitiimset komponenti 'elev_win.exe' SÜSTEEMItasandi juurdepääsu saamiseks.

See kõrgendatud privileegide tase võimaldab ründajatel:

  • Jälgige ja jäädvustage ekraanitegevust
  • Süstige klahvivajutusi reaalajas
  • Juurdepääs tundlikele ressurssidele kasutaja kontekstis

Sellised võimalused annavad ohvri keskkonna üle täieliku kontrolli ilma tavapäraseid turvahoiatusi käivitamata.

Redundantse juurdepääsu strateegia: ScreenConnect varukanalina

Pärast peamise juurdepääsukanali loomist kasutavad ründajad ConnectWise ScreenConnecti teisese kaugjuurdepääsu mehhanismina. See tagab ühenduse püsivuse isegi siis, kui esialgne SimpleHelpi ühendus tuvastatakse ja blokeeritakse.

Mitme legitiimse tööriista kasutamine toob esile kihilise juurdepääsustrateegia, mis on loodud vastupidavuse ja varjatuse tagamiseks, mis raskendab avastamist ja intsidentidele reageerimist.

Operatiivne mõju: vaikne kontroll radari all

Juurutatud SimpleHelpi versioon (5.0.1) pakub tugevat komplekti kaughaldusfunktsioone. Kui see on keskkonda integreeritud, saavad ründajad vabalt ja diskreetselt tegutseda. Ohustatud organisatsioon jääb pidevale ärakasutamisele avatuks, kuna ründajad saavad süsteemi soovi korral uuesti siseneda.

Keskkonnast saab sisuliselt kontrollitud vara, kus vastased saavad vaikselt käske täita, faile mõlemas suunas edastada ja võrgus horisontaalselt liikuda. Kuna kogu tegevus näib pärinevat usaldusväärse Ühendkuningriigi tootja toodetud seaduslikult allkirjastatud tarkvarast, ei suuda traditsioonilised viirusetõrje- ja signatuuripõhised kaitsemeetmed sissetungi sageli tuvastada.

Kokkuvõte: Kaasaegsete sissetungide plaan

VENOMOUS#HELPER on hea näide kasvavast trendist kasutada seaduslikke haldustööriistu pahatahtlikel eesmärkidel. Sotsiaalse manipuleerimise, usaldusväärse tarkvara kuritarvitamise ja redundantsete juurdepääsumehhanismide kombineerimise abil saavutatakse kampaania püsivus, varjatus ja operatiivne paindlikkus. See lähenemisviis rõhutab pakilist vajadust käitumise jälgimise, nullusalduspõhimõtete ja seaduslike tööriistade kasutamise täiustatud kontrolli järele ettevõttekeskkondades.

 

Trendikas

Enim vaadatud

Laadimine...