VENOMOOUS#HELPER sukčiavimo apsimetant kampanija

Sudėtinga sukčiavimo apsimetant kampanija, identifikuota kaip „VENOMOUS#HELPER“, vykdoma mažiausiai nuo 2025 m. balandžio mėn., jos taikiniais tapo keli atakų vektoriai, piktnaudžiaujant teisėtais nuotolinio stebėjimo ir valdymo (RMM) įrankiais. Nukentėjo daugiau nei 80 organizacijų, daugiausia Jungtinėse Valstijose. Ši veikla sutampa su anksčiau užfiksuotais klasteriais, žinomais kaip STAC6405. Nors priskyrimas vis dar neaiškus, veiklos modeliai labai susiję su finansiškai valdomais pradinės prieigos tarpininkais (IAB) arba išpirkos reikalaujančių programų pirmtakų grupėmis, siekiančiomis įsitvirtinti vėlesniam išnaudojimui.

Gyvenimas iš patikimų įrankių: teisėtos RMM programinės įrangos piktnaudžiavimas

Užuot diegę akivaizdžiai kenkėjišką programinę įrangą, užpuolikai naudoja pritaikytas teisėtų įrankių, tokių kaip „SimpleHelp“ ir „ConnectWise ScreenConnect“, versijas. Kadangi šios programos dažniausiai naudojamos įmonių aplinkoje, jų buvimas dažnai apeina tradicines saugumo kontrolės priemones ir nesukelia įtarimų.

Abiejų įrankių vienalaikis diegimas yra sąmoninga taktika. Sukurdami dvigubus nuotolinės prieigos kanalus, užpuolikai užtikrina operacinį atsparumą. Jei vienas ryšys aptinkamas ir neutralizuojamas, antrasis kanalas lieka aktyvus, leisdamas tęsti neteisėtą prieigą be pertraukimų.

Sukčiavimo apsimetant virusais patekimo taškas: socialinė inžinerija su patikimu maskavimu

Atakų grandinė prasideda kruopščiai parengtu sukčiavimo el. laišku, apsimetant JAV socialinio draudimo administracija (SSA). Laiške gavėjai raginami patvirtinti savo el. pašto adresą ir atsisiųsti tariamą SSA pareiškimą per įterptą nuorodą.

Pažymėtina, kad nuoroda nukreipia aukas į teisėtą, bet užkrėstą Meksikos verslo svetainę, o tai rodo sąmoningas pastangas apeiti šlamšto filtrus ir reputacija pagrįstas apsaugos priemones. Iš ten aukos nukreipiamos į antrą užpuoliko kontroliuojamą domeną, kuriame yra kenkėjiška informacija, užmaskuota kaip teisėtas dokumentas.

Naudingosios apkrovos tiekimas ir išlikimas: ilgalaikės prieigos inžinerija

Atsisiuntus naudingąją programą, supakuotą kaip „Windows“ vykdomąjį failą, pradedamas „SimpleHelp RMM“ įrankio diegimas. Manoma, kad užpuolikai įsilaužė į „cPanel“ paskyrą prieglobos serveryje, kad galėtų įdiegti kenkėjišką failą.

Po vykdymo kenkėjiška programa tampa atkakli ir atspari keliais mechanizmais:

• Diegimas kaip „Windows“ paslauga su saugaus režimo išsaugojimo galimybėmis
• Savaime atsistatančio stebėjimo įtaiso, kuris automatiškai paleidžia paslaugą iš naujo, jei ji nutraukiama, diegimas
• Reguliarus įdiegtų saugos produktų sąrašas per root\SecurityCenter2 WMI vardų erdvę kas 67 sekundes

• Nuolatinis naudotojo aktyvumo stebėjimas 23 sekundžių intervalais

Šie metodai užtikrina, kad kenkėjiška veikla išliktų aktyvi, prisitaikanti ir sunkiai išnaikinama.

Privilegijų eskalavimas ir visa sistemos kontrolė

Siekdamas visiškai interaktyviai valdyti pažeistą sistemą, „SimpleHelp“ klientas padidina privilegijas įgydamas „SeDebugPrivilege“ per „AdjustTokenPrivileges“. Be to, teisėtas programinės įrangos komponentas „elev_win.exe“ naudojamas norint gauti SISTEMOS lygio prieigą.

Šis padidintas privilegijų lygis leidžia užpuolikams:

• Stebėkite ir fiksuokite ekrano veiklą
• Įterpti klavišų paspaudimus realiuoju laiku
• Pasiekite jautrius išteklius vartotojo kontekste

Tokios galimybės efektyviai suteikia visišką aukos aplinkos kontrolę nesukeliant įprastų saugumo įspėjimų.

Perteklinės prieigos strategija: „ScreenConnect“ kaip atsarginis kanalas

Sukūrus pagrindinį prieigos kanalą, užpuolikai įdiegia „ConnectWise ScreenConnect“ kaip antrinį nuotolinės prieigos mechanizmą. Tai užtikrina ryšio tęstinumą net ir tuo atveju, jei pradinis „SimpleHelp“ ryšys yra identifikuojamas ir blokuojamas.

Kelių teisėtų įrankių naudojimas išryškina daugiasluoksnę prieigos strategiją, skirtą patvarumui ir slaptumui užtikrinti, o tai apsunkina incidentų aptikimą ir reagavimą į juos.

Veiklos poveikis: tylus valdymas po radaru

Įdiegta „SimpleHelp“ versija (5.0.1) suteikia patikimą nuotolinio administravimo funkcijų rinkinį. Patekę į aplinką, užpuolikai gali veikti laisvai ir diskretiškai. Pažeista organizacija lieka neapsaugota nuo nuolatinio išnaudojimo, nes užpuolikai gali bet kada vėl patekti į sistemą.

Aplinka iš esmės tampa kontroliuojamu turtu, kuriame priešininkai gali tyliai vykdyti komandas, perduoti failus abiem kryptimis ir judėti tinkle. Kadangi visa veikla atrodo kylanti iš teisėtai pasirašytos programinės įrangos, kurią sukūrė patikimas JK tiekėjas, tradicinės antivirusinės ir parašais pagrįstos apsaugos dažnai neaptinka įsilaužimo.

Išvada: Šiuolaikinių įsibrovimų planas

„VENOMOUS#HELPER“ iliustruoja augančią tendenciją naudoti teisėtus administracinius įrankius kenkėjiškiems tikslams. Derinant socialinę inžineriją, patikimos programinės įrangos piktnaudžiavimą ir nereikalingus prieigos mechanizmus, kampanija pasiekia pastovumą, slaptumą ir veiklos lankstumą. Šis požiūris pabrėžia neatidėliotiną elgesio stebėjimo, nulinio pasitikėjimo principų ir griežtesnės teisėtų įrankių naudojimo įmonės aplinkoje kontrolės poreikį.