Ponuda s popustom na više licenci
Baza prijetnji Krađa identiteta VENOMOUS#HELPER phishing kampanja

VENOMOUS#HELPER phishing kampanja

Do Mezo. Krađa identiteta. godine
Prevedi na:

Sofisticirana phishing kampanja, identificirana kao VENOMOUS#HELPER, aktivna je najmanje od travnja 2025., ciljajući višestruke vektore napada zlouporabom legitimnih alata za daljinsko praćenje i upravljanje (RMM). Pogođeno je više od 80 organizacija, pretežno u Sjedinjenim Državama. Aktivnost se preklapa s prethodno dokumentiranim klasterima poznatim kao STAC6405. Iako je atribucija i dalje neizvjesna, operativni obrasci snažno se podudaraju s financijski motiviranim Initial Access Brokers (IAB) ili prethodničkim skupinama ransomwarea koje žele uspostaviti uporišta za kasnije iskorištavanje.

Život s pouzdanim alatima: Zloupotreba legitimnog RMM softvera

Umjesto implementacije otvoreno zlonamjernog softvera, napadači se oslanjaju na prilagođene verzije legitimnih alata kao što su SimpleHelp i ConnectWise ScreenConnect. Budući da se ove aplikacije često koriste u poslovnim okruženjima, njihova prisutnost često zaobilazi tradicionalne sigurnosne kontrole i izbjegava pobuđivanje sumnje.

Istovremeno postavljanje oba alata je namjerna taktika. Uspostavljanjem dvostrukih kanala za udaljeni pristup, napadači osiguravaju operativnu otpornost. Ako se jedna veza otkrije i neutralizira, drugi kanal ostaje aktivan, omogućujući kontinuirani neovlašteni pristup bez prekida.

Ulazna točka za phishing: Društveni inženjering s pouzdanom maskom

Lanac napada započinje pažljivo izrađenom phishing e-poštom koja se lažno predstavlja kao američka Uprava za socijalno osiguranje (SSA). Poruka potiče primatelje da potvrde svoju adresu e-pošte i preuzmu navodnu izjavu SSA-e putem ugrađene poveznice.

Značajno je da poveznica usmjerava žrtve na legitimnu, ali kompromitiranu web stranicu meksičke tvrtke, što pokazuje namjerni pokušaj izbjegavanja filtera neželjene pošte i obrane temeljene na reputaciji. Odatle se žrtve preusmjeravaju na drugu domenu kojom upravlja napadač, a koja sadrži zlonamjerni sadržaj prikriven kao legitimni dokument.

Isporuka i trajnost korisnog tereta: Inženjering dugoročnog pristupa

Nakon preuzimanja, korisni sadržaj, zapakiran kao izvršna datoteka za Windows, pokreće instalaciju alata SimpleHelp RMM. Vjeruje se da su napadači kompromitirali cPanel račun na poslužitelju kako bi postavili zlonamjernu datoteku.

Nakon izvršenja, zlonamjerni softver uspostavlja postojanost i otpornost putem nekoliko mehanizama:

  • Instalacija kao Windows servisa s mogućnostima perzistencije u sigurnom načinu rada
  • Implementacija samoobnavljajućeg nadzornog mehanizma koji automatski ponovno pokreće uslugu ako se prekine
  • Redovito nabrajanje instaliranih sigurnosnih proizvoda putem WMI imenskog prostora root\SecurityCenter2 svakih 67 sekundi
  • Kontinuirano praćenje aktivnosti korisnika u intervalima od 23 sekunde

Ove tehnike osiguravaju da zlonamjerna prisutnost ostane aktivna, prilagodljiva i teško ju je iskorijeniti.

Eskalacija privilegija i potpuna kontrola sustava

Kako bi se postigla potpuna interaktivna kontrola nad kompromitovanim sustavom, SimpleHelp klijent eskalira privilegije stjecanjem SeDebugPrivilege putem AdjustTokenPrivileges. Osim toga, legitimna komponenta softvera, 'elev_win.exe', koristi se za dobivanje pristupa na razini SYSTEMA.

Ova povišena razina privilegija omogućuje napadačima:

  • Praćenje i snimanje aktivnosti na zaslonu
  • Ubrizgavanje pritisaka tipki u stvarnom vremenu
  • Pristup osjetljivim resursima unutar korisničkog konteksta

Takve mogućnosti učinkovito daju potpunu kontrolu nad okruženjem žrtve bez aktiviranja konvencionalnih sigurnosnih upozorenja.

Strategija redundantnog pristupa: ScreenConnect kao rezervni kanal

Nakon uspostavljanja primarnog pristupnog kanala, napadači implementiraju ConnectWise ScreenConnect kao sekundarni mehanizam udaljenog pristupa. To osigurava trajnost čak i ako je početna SimpleHelp veza identificirana i blokirana.

Korištenje više legitimnih alata naglašava slojevitu strategiju pristupa osmišljenu za trajnost i prikrivenost, što komplicira napore otkrivanja i reagiranja na incidente.

Operativni utjecaj: Tiha kontrola ispod radara

Implementirana verzija SimpleHelpa (5.0.1) pruža robustan skup značajki udaljene administracije. Nakon što se ugradi u okruženje, napadači dobivaju mogućnost slobodnog i diskretnog djelovanja. Ugrožena organizacija izložena je kontinuiranom iskorištavanju jer napadači mogu ponovno ući u sustav po volji.

Okruženje zapravo postaje kontrolirana imovina, gdje protivnici mogu tiho izvršavati naredbe, prenositi datoteke u oba smjera i kretati se lateralno po mreži. Budući da se čini da sva aktivnost potječe od legitimno potpisanog softvera koji je proizveo ugledni britanski dobavljač, tradicionalni antivirusni programi i obrana temeljena na potpisima često ne uspijevaju otkriti upad.

Zaključak: Nacrt za moderne upade

VENOMOUS#HELPER primjer je rastućeg trenda korištenja legitimnih administrativnih alata u zlonamjerne svrhe. Kombiniranjem društvenog inženjeringa, zlouporabe pouzdanog softvera i redundantnih mehanizama pristupa, kampanja postiže upornost, prikrivenost i operativnu fleksibilnost. Ovaj pristup naglašava hitnu potrebu za praćenjem ponašanja, principima nultog povjerenja i pojačanim nadzorom korištenja legitimnih alata unutar poslovnih okruženja.

 

U trendu

Nagledanije

Učitavam...