קמפיין פישינג של VENOMOUS#HELPER

קמפיין פישינג מתוחכם, שזוהה כ-VENOMOUS#HELPER, פעיל לפחות מאז אפריל 2025, ומכוון לווקטורי תקיפה מרובים באמצעות ניצול לרעה של כלי ניטור וניהול מרחוק (RMM) לגיטימיים. יותר מ-80 ארגונים, בעיקר בארצות הברית, נפגעו. הפעילות חופפת לאשכולות שתועדו בעבר המכונים STAC6405. למרות שהייחוס נותר לא ודאי, דפוסי התפעול תואמים מאוד עם מתווכי גישה ראשוניים (IABs) או קבוצות קודמות של תוכנות כופר המבקשות לבסס דריסת רגל לניצול מאוחר יותר.

לחיות על כלים מהימנים: ניצול לרעה של תוכנות RMM לגיטימיות

במקום לפרוס תוכנות זדוניות באופן גלוי, התוקפים מסתמכים על גרסאות מותאמות אישית של כלים לגיטימיים כמו SimpleHelp ו-ConnectWise ScreenConnect. מכיוון שיישומים אלה נמצאים בשימוש נפוץ בסביבות ארגוניות, נוכחותם עוקפת לעתים קרובות בקרות אבטחה מסורתיות ומונעת העלאת חשד.

הפריסה המקבילה של שני הכלים היא טקטיקה מכוונת. על ידי יצירת ערוצי גישה מרחוק כפולים, התוקפים מבטיחים חוסן תפעולי. אם חיבור אחד מזוהה ומנוטרל, הערוץ השני נשאר פעיל, ומאפשר גישה בלתי מורשית מתמשכת ללא הפרעה.

נקודת כניסה לפישינג: הנדסה חברתית בתחפושת מהימנה

שרשרת ההתקפה מתחילה בדוא"ל פישינג שנוצר בקפידה, המתחזה למנהל הביטוח הלאומי של ארה"ב (SSA). ההודעה קוראת לנמענים לאמת את כתובת הדוא"ל שלהם ולהוריד הצהרת SSA לכאורה באמצעות קישור מוטמע.

ראוי לציין כי הקישור מפנה את הקורבנות לאתר עסקי מקסיקני לגיטימי אך פרוץ, מה שמדגים מאמץ מכוון להתחמק ממסנני דואר זבל ומגנות מבוססות מוניטין. משם, הקורבנות מופנים לדומיין שני הנשלט על ידי התוקף, המארח את המטען הזדוני במסווה של מסמך לגיטימי.

אספקת מטען והתמדה: הנדסת גישה לטווח ארוך

לאחר ההורדה, המטען, ארוז כקובץ הרצה של Windows, מתחיל את התקנת כלי SimpleHelp RMM. התוקפים ככל הנראה פרצו לחשבון cPanel בשרת האירוח כדי להציג את הקובץ הזדוני.

לאחר ההפעלה, התוכנה הזדונית יוצרת עמידות ועמידות באמצעות מספר מנגנונים:

• התקנה כשירות Windows עם יכולות התמדה במצב בטוח
• פריסת גוף שמירה בעל יכולת תיקון עצמי שמפעיל מחדש את השירות באופן אוטומטי אם הוא מופסק
• ספירה קבועה של מוצרי אבטחה מותקנים דרך מרחב השמות root\SecurityCenter2 WMI כל 67 שניות

• ניטור רציף של פעילות המשתמש במרווחים של 23 שניות

טכניקות אלו מבטיחות שהנוכחות הזדונית תישאר פעילה, ניתנת להסתגלות וקשה למיגור.

הסלמת הרשאות ושליטה מלאה במערכת

כדי להשיג שליטה אינטראקטיבית מלאה על המערכת הפגועה, לקוח SimpleHelp מגביר הרשאות על ידי רכישת SeDebugPrivilege דרך AdjustTokenPrivileges. בנוסף, רכיב לגיטימי של התוכנה, 'elev_win.exe', מנוצל כדי לקבל גישה ברמת המערכת.

רמת הרשאות מוגברת זו מאפשרת לתוקפים:

• ניטור וצילום של פעילות המסך
• הזרקת הקשות מקשים בזמן אמת
• גישה למשאבים רגישים בהקשר של המשתמש

יכולות כאלה מעניקות למעשה שליטה מלאה על סביבת הקורבן מבלי להפעיל התראות אבטחה קונבנציונליות.

אסטרטגיית גישה יתירה: ScreenConnect כערוץ גיבוי

לאחר הקמת ערוץ הגישה הראשי, תוקפים פורסים את ConnectWise ScreenConnect כמנגנון גישה מרחוק משני. זה מבטיח שמירה על תקיפות גם אם חיבור SimpleHelp הראשוני מזוהה ונחסם.

השימוש בכלים לגיטימיים מרובים מדגיש אסטרטגיית גישה רב-שכבתית שנועדה לעמידות וחשאיות, דבר המסבך את מאמצי הגילוי והתגובה לאירועים.

השפעה תפעולית: שליטה שקטה מתחת לרדאר

גרסת SimpleHelp (5.0.1) שנפרסה מספקת מערך חזק של תכונות ניהול מרחוק. לאחר הטמעה בסביבה, התוקפים מקבלים את היכולת לפעול בחופשיות ובדיסקרטיות. הארגון שנפרץ נותר חשוף לניצול מתמשך, שכן התוקפים יכולים להיכנס שוב למערכת כרצונם.

הסביבה הופכת למעשה לנכס מבוקר, שבו יריבים יכולים לבצע פקודות בשקט, להעביר קבצים בשני הכיוונים ולנוע לרוחב הרשת. מכיוון שנראה שכל הפעילות נובעת מתוכנה חתומה באופן חוקי המיוצרת על ידי ספק בריטי בעל מוניטין, אנטי-וירוס מסורתי והגנות מבוססות חתימות לעיתים קרובות לא מצליחות לזהות את הפריצה.

סיכום: תוכנית אב לפריצות מודרניות

VENOMOUS#HELPER מדגים את המגמה הגוברת של מינוף כלי ניהול לגיטימיים למטרות זדוניות. על ידי שילוב של הנדסה חברתית, ניצול לרעה של תוכנה מהימנה ומנגנוני גישה יתירים, הקמפיין משיג התמדה, חשאיות וגמישות תפעולית. גישה זו מדגישה את הצורך הדחוף בניטור התנהגותי, עקרונות אפס אמון ובחינה משופרת של שימוש בכלים לגיטימיים בסביבות ארגוניות.