اپراتورهای باج افزار از Action1 RMM سوء استفاده می کنند
ابزارهای نظارت و مدیریت از راه دور (RMM) مانند Action1 RMM به طور فزاینده ای به یک انتخاب جذاب برای ارائه دهندگان خدمات مدیریت شده (MSP) و پایگاه مشتریان آنها تبدیل شده اند، زیرا آنها امکان مدیریت از راه دور نقاط پایانی در شبکه های مشتری، از جمله مدیریت پچ، نصب نرم افزار امنیتی، و عیب یابی. متأسفانه، قابلیتهای این ابزارها توجه بازیگران تهدید را نیز به خود جلب کرده است که اکنون از آنها برای به خطر انداختن شبکههای شرکتی و حفظ پایداری سوء استفاده میکنند.
فهرست مطالب
بازیگران تهدید شبکه های شرکتی را به خطر می اندازند
گزارشهای اخیر شرکتهای امنیتی و توییتهای محققان، سوء استفاده از Action1 RMM در حملات باجافزار را روشن کرده است. با استفاده از Action1، عوامل تهدید میتوانند دستورات، اسکریپتها و فایلهای باینری را اجرا کنند تا فشارهای بدافزار را بر روی ماشینهای در معرض خطر حذف کنند. این اقدامات مستلزم ایجاد یک "خط مشی" یا یک "برنامه" در پلتفرم است که در صورت شناسایی در خط فرمان در حین اجرا، نشانه ای از سوء استفاده را ارائه می دهد.
در پاسخ به این مشکل، Action1 ارتقاهای امنیتی مانند فیلتر هوش مصنوعی را برای اسکن فعالیت کاربر برای الگوهای رفتاری مشکوک، شناسایی حسابهای بالقوه مخرب و هشدار به تیم امنیتی اختصاصی آنها برای بررسی بیشتر، اجرا کرده است.
شواهدی که از توییت کوستاس حمایت می کنند
یکی از اعضای گروه تحلیلگر داوطلب The DFIR Report، Kostas، در مورد سوء استفاده اپراتورهای باج افزار از پلت فرم Action1 RMM توییت کرد و خطر بالقوه افزایش حملات با استفاده از این سیستم را برجسته کرد. برای تأیید این ادعاها، شواهد اضافی برای ارائه درک روشن تری از وضعیت ضروری است.
TTPهایی شبیه تحقیقات تیم واکنش به حوادث بلک بری
شواهد بیشتری که از توییت کوستاس حمایت میکند، از تحقیقات تیم BlackBerry Incident Response در مورد پروندهای مربوط به باجافزار Monti میآید. در این مثال، عوامل تهدید از آسیبپذیری Log4Shell برای نفوذ به سیستم مجازیسازی VMware Horizon کلاینت سوء استفاده کردند. مهاجمان دسکتاپ و سرورهای کاربر را رمزگذاری کردند، و به ویژه، آنها همچنین دو عامل نظارت و نگهداری از راه دور (RMM) از جمله Action1 را دانلود و نصب کردند.
محققان بر این باورند که نرم افزار RMM توسط مهاجمان برای ایجاد پایداری در شبکه و تسهیل دسترسی از راه دور اضافی مورد استفاده قرار گرفته است، و این اولین حادثه شناخته شده است که از Action1 به این روش استفاده می کند. این تاکتیک که قبلاً توسط اپراتورهای Conti به کار میرفت، تکامل و انطباق مجرمان سایبری را نشان میدهد که از تطبیق پذیری نرمافزار RMM قانونی مانند Action1 برای انجام فعالیتهای مخرب خود سوء استفاده میکنند.
اقدام 1 مبارزه با استفاده مخرب
Action1 به طور فعال به موضوع سوء استفاده از محصول نظارت و مدیریت از راه دور (RMM) توسط اپراتورهای باج افزار می پردازد. این شرکت ارتقاهای امنیتی مختلفی را برای مبارزه با استفاده مخرب از پلتفرم خود اجرا کرده و در عین حال راه حل های مدیریت از راه دور کارآمدی را برای پایگاه کاربران خود ارائه می دهد.
استفاده از ارتقاء امنیتی، فیلتر هوش مصنوعی
یکی از اقدامات امنیتی اجرا شده توسط Action1 استفاده از فیلترینگ هوش مصنوعی است. این فناوری فعالیت کاربر را برای الگوهای رفتاری مشکوک اسکن می کند و به طور موثر حساب های بالقوه مخرب را شناسایی می کند. هدف Action1 با استفاده از قابلیتهای هوش مصنوعی، کاهش خطر سوء استفاده از پلتفرم خود توسط بازیگران تهدید برای حملات باجافزار است.
سویه باج افزار Monti
Monti یک نوع باج افزار نسبتا جدید است که توسط کارشناسان به عنوان یک نوع جدیدتر از خانواده Conti در نظر گرفته می شود. این سویه با استفاده از تاکتیک هایی مشاهده شده است که سلف آن، Conti را به یک تهدید قابل توجه در فضای مجازی تبدیل کرده است.
نوع جدیدتر خانواده Conti
مونتی بسیاری از تاکتیکهایی را که Conti را به یک تهدید جدی تبدیل میکردند ، به ارث برده است، از جمله سوء استفاده از نرمافزار مدیریت از راه دور برای شروع حملات باجافزار. اپراتورهای باجافزار Monti ثابت کردهاند که در اتخاذ رویکردهای موفق خانواده Conti سازگار هستند.
سوء استفاده از نرم افزار مدیریت از راه دور
Conti به دلیل سوء استفاده از نرم افزارهای مدیریت از راه دور قانونی، مانند AnyDesk، برای دسترسی غیرمجاز به شبکه ها و تسهیل حملات آنها بدنام بود. مونتی رویکرد مشابهی را دنبال کرده است، با حوادث اخیر مربوط به سوء استفاده از Action1 RMM، که توسط ارائه دهندگان خدمات مدیریت شده برای مدیریت نقطه پایانی از راه دور در شبکه های مشتری استفاده می شود.
پیوند احتمالی بین باندهای Conti و Monti
ارتباط دقیق بین اپراتورهای باج افزار Conti و Monti همچنان نامشخص است. با این حال، شباهتها در تاکتیکها، تکنیکها و رویههای آنها نشان میدهد که جنایتکاران پشت مونتی ممکن است تحت تأثیر باند Conti بوده یا مستقیماً با آن مرتبط باشند. صرفنظر از اتصال، ترکیب مونتی از یک نوع باجافزار با تاکتیکهای اثباتشده، تهدیدی قابلتوجه برای شرکتها و سیستمهای آنها است.