VENOMOOUS#HELPER pikšķerēšanas kampaņa
Sarežģīta pikšķerēšanas kampaņa, kas identificēta kā VENOMOUS#HELPER, ir aktīva vismaz kopš 2025. gada aprīļa, un tās mērķis ir vairāki uzbrukumu vektori, ļaunprātīgi izmantojot likumīgus attālās uzraudzības un pārvaldības (RMM) rīkus. Ir skartas vairāk nekā 80 organizācijas, galvenokārt Amerikas Savienotajās Valstīs. Aktivitāte pārklājas ar iepriekš dokumentētiem klasteriem, kas pazīstami kā STAC6405. Lai gan attiecinājums joprojām nav skaidrs, darbības modeļi ir cieši saistīti ar finansiāli orientētiem sākotnējās piekļuves brokeriem (IAB) vai izspiedējvīrusu prekursoru grupām, kas cenšas nodibināt atbalsta punktus vēlākai izmantošanai.
Satura rādītājs
Dzīvošana, izmantojot uzticamus rīkus: likumīgas RMM programmatūras ļaunprātīga izmantošana
Uzbrucēji neizmanto atklāti ļaunprātīgu programmatūru, bet gan izmanto pielāgotas likumīgu rīku, piemēram, SimpleHelp un ConnectWise ScreenConnect, versijas. Tā kā šīs lietojumprogrammas parasti tiek izmantotas uzņēmumu vidē, to klātbūtne bieži vien apiet tradicionālās drošības kontroles un nerada aizdomas.
Abu rīku vienlaicīga izvietošana ir apzināta taktika. Izveidojot divus attālās piekļuves kanālus, uzbrucēji nodrošina darbības noturību. Ja viens savienojums tiek atklāts un neitralizēts, otrais kanāls paliek aktīvs, ļaujot turpināt nesankcionētu piekļuvi bez pārtraukumiem.
Pikšķerēšanas ieejas punkts: sociālā inženierija ar uzticamu maskējumu
Uzbrukumu ķēde sākas ar rūpīgi izstrādātu pikšķerēšanas e-pastu, kas uzdodas par ASV Sociālās nodrošināšanas administrāciju (SSA). Ziņojumā adresāti tiek aicināti verificēt savu e-pasta adresi un lejupielādēt it kā SSA paziņojumu, izmantojot iegulto saiti.
Jāatzīmē, ka saite novirza upurus uz likumīgu, bet apdraudētu Meksikas uzņēmuma vietni, demonstrējot apzinātus centienus apiet surogātpasta filtrus un uz reputāciju balstītu aizsardzību. No turienes upuri tiek novirzīti uz otru uzbrucēja kontrolētu domēnu, kurā atrodas ļaunprātīgā vērtuma dati, kas maskēti kā likumīgs dokuments.
Derīgās slodzes piegāde un noturība: ilgtermiņa piekļuves inženierija
Pēc lejupielādes lietderīgā datne, kas iepakota kā Windows izpildāmais fails, sāk SimpleHelp RMM rīka instalēšanu. Tiek uzskatīts, ka uzbrucēji ir kompromitējuši cPanel kontu mitināšanas serverī, lai izvietotu ļaunprātīgo failu.
Pēc izpildes ļaunprogrammatūra nodrošina noturību un noturību, izmantojot vairākus mehānismus:
- Instalēšana kā Windows pakalpojums ar drošā režīma saglabāšanas iespējām
- Pašdziedinoša sargsuņa izvietošana, kas automātiski restartē pakalpojumu, ja tas tiek pārtraukts
- Instalēto drošības produktu regulāra uzskaitīšana, izmantojot root\SecurityCenter2 WMI nosaukumtelpu, ik pēc 67 sekundēm.
- Nepārtraukta lietotāja aktivitātes uzraudzība ik pēc 23 sekundēm
Šīs metodes nodrošina, ka ļaunprātīgā klātbūtne paliek aktīva, pielāgojama un grūti izskausjama.
Privilēģiju eskalācija un pilnīga sistēmas kontrole
Lai panāktu pilnīgu interaktīvu kontroli pār apdraudēto sistēmu, SimpleHelp klients paplašina privilēģijas, iegūstot SeDebugPrivilege, izmantojot AdjustTokenPrivileges. Turklāt likumīga programmatūras sastāvdaļa “elev_win.exe” tiek izmantota, lai iegūtu SISTĒMAS līmeņa piekļuvi.
Šis paaugstinātais privilēģiju līmenis ļauj uzbrucējiem:
- Ekrāna aktivitāšu uzraudzība un uztveršana
- Injicēt taustiņsitienus reāllaikā
- Piekļūstiet sensitīviem resursiem lietotāja kontekstā
Šādas iespējas efektīvi nodrošina pilnīgu kontroli pār upura vidi, neizraisot tradicionālos drošības brīdinājumus.
Redundantas piekļuves stratēģija: ScreenConnect kā rezerves kanāls
Pēc primārā piekļuves kanāla izveides uzbrucēji izvieto ConnectWise ScreenConnect kā sekundāru attālās piekļuves mehānismu. Tas nodrošina nepārtrauktību pat tad, ja sākotnējais SimpleHelp savienojums tiek identificēts un bloķēts.
Vairāku likumīgu rīku izmantošana izceļ daudzslāņainu piekļuves stratēģiju, kas paredzēta izturībai un slepenībai, sarežģījot incidentu atklāšanas un reaģēšanas centienus.
Operacionālā ietekme: klusa vadība zem radara
Izvietotā SimpleHelp versija (5.0.1) nodrošina stabilu attālās administrēšanas funkciju kopumu. Kad sistēma ir integrēta vidē, uzbrucēji iegūst iespēju darboties brīvi un diskrēti. Apdraudētā organizācija ir pakļauta pastāvīgai izmantošanai, jo uzbrucēji var pēc vēlēšanās atkārtoti iekļūt sistēmā.
Vide faktiski kļūst par kontrolētu resursu, kur pretinieki var klusi izpildīt komandas, pārsūtīt failus abos virzienos un pārvietoties pa tīklu. Tā kā šķiet, ka visa darbība rodas no likumīgi parakstītas programmatūras, ko izstrādājis cienījams Apvienotās Karalistes pārdevējs, tradicionālās pretvīrusu un uz parakstiem balstītas aizsardzības bieži vien nespēj atklāt ielaušanos.
Secinājums: Mūsdienu ielaušanās plāns
VENOMOUS#HELPER ilustrē pieaugošo tendenci izmantot likumīgus administratīvos rīkus ļaunprātīgiem mērķiem. Apvienojot sociālo inženieriju, uzticamas programmatūras ļaunprātīgu izmantošanu un dublētus piekļuves mehānismus, kampaņa panāk noturību, slepenību un darbības elastību. Šī pieeja uzsver steidzamo nepieciešamību pēc uzvedības uzraudzības, nulles uzticēšanās principiem un pastiprinātas likumīgu rīku lietošanas kontroles uzņēmumu vidē.
