Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Pancingan data Kempen Pancingan Data VENOMOUS#HELPER

Kempen Pancingan Data VENOMOUS#HELPER

Menjelang Mezo pada Pancingan data
Terjemahkan ke

Satu kempen pancingan data yang canggih, yang dikenal pasti sebagai VENOMOUS#HELPER, telah aktif sekurang-kurangnya sejak April 2025, menyasarkan pelbagai vektor serangan melalui penyalahgunaan alat Pemantauan dan Pengurusan Jauh (RMM) yang sah. Lebih 80 organisasi, kebanyakannya di Amerika Syarikat, telah terjejas. Aktiviti ini bertindih dengan kluster yang didokumenkan sebelum ini yang dikenali sebagai STAC6405. Walaupun atribusi masih tidak menentu, corak operasi sangat sejajar dengan Broker Akses Awal (IAB) yang didorong oleh kewangan atau kumpulan prekursor ransomware yang ingin mewujudkan kedudukan untuk eksploitasi kemudian.

Hidup Dengan Alatan Yang Dipercayai: Penyalahgunaan Perisian RMM Yang Sah

Daripada menggunakan perisian berniat jahat yang terang-terangan, penyerang bergantung pada versi tersuai alat sah seperti SimpleHelp dan ConnectWise ScreenConnect. Oleh kerana aplikasi ini biasa digunakan dalam persekitaran perusahaan, kehadirannya sering memintas kawalan keselamatan tradisional dan mengelakkan timbulnya syak wasangka.

Penggunaan kedua-dua alat secara serentak merupakan taktik yang disengajakan. Dengan mewujudkan saluran akses jauh berganda, penyerang memastikan daya tahan operasi. Jika satu sambungan dikesan dan dineutralkan, saluran kedua kekal aktif, membolehkan akses tanpa kebenaran berterusan tanpa gangguan.

Titik Kemasukan Pancingan Data: Kejuruteraan Sosial dengan Penyamaran yang Dipercayai

Rantaian serangan bermula dengan e-mel pancingan data yang direka dengan teliti yang menyamar sebagai Pentadbiran Keselamatan Sosial AS (SSA). Mesej tersebut menggesa penerima untuk mengesahkan alamat e-mel mereka dan memuat turun penyataan SSA yang didakwa melalui pautan terbenam.

Terutamanya, pautan tersebut mengarahkan mangsa ke laman web perniagaan Mexico yang sah tetapi telah dikompromi, menunjukkan usaha yang disengajakan untuk mengelakkan penapis spam dan pertahanan berasaskan reputasi. Dari situ, mangsa dialihkan ke domain kedua yang dikawal oleh penyerang, yang menempatkan muatan berniat jahat yang menyamar sebagai dokumen yang sah.

Penghantaran Muatan dan Kegigihan: Kejuruteraan Akses Jangka Panjang

Sebaik sahaja dimuat turun, muatan, yang dibungkus sebagai fail boleh laku Windows, akan memulakan pemasangan alat RMM SimpleHelp. Penyerang dipercayai telah menjejaskan akaun cPanel pada pelayan pengehosan untuk memerangkap fail berniat jahat.

Selepas pelaksanaan, perisian hasad mewujudkan kegigihan dan daya tahan melalui beberapa mekanisme:

  • Pemasangan sebagai perkhidmatan Windows dengan keupayaan kegigihan Mod Selamat
  • Penggunaan pengawas penyembuhan kendiri yang akan memulakan semula perkhidmatan secara automatik jika ditamatkan
  • Penghitungan produk keselamatan yang dipasang secara berkala melalui ruang nama WMI root\SecurityCenter2 setiap 67 saat
  • Pemantauan berterusan aktiviti pengguna pada selang masa 23 saat

Teknik-teknik ini memastikan kehadiran berniat jahat kekal aktif, mudah menyesuaikan diri dan sukar untuk dibasmi.

Peningkatan Keistimewaan dan Kawalan Sistem Penuh

Untuk mencapai kawalan interaktif penuh ke atas sistem yang diceroboh, klien SimpleHelp meningkatkan keistimewaan dengan memperoleh SeDebugPrivilege melalui AdjustTokenPrivileges. Di samping itu, komponen perisian yang sah, 'elev_win.exe', dimanfaatkan untuk mendapatkan akses peringkat SISTEM.

Tahap keistimewaan yang tinggi ini membolehkan penyerang untuk:

  • Pantau dan tangkap aktiviti skrin
  • Suntikan ketukan kekunci dalam masa nyata
  • Akses sumber sensitif dalam konteks pengguna

Keupayaan sedemikian berkesan memberikan kawalan penuh ke atas persekitaran mangsa tanpa mencetuskan amaran keselamatan konvensional.

Strategi Akses Berlebihan: ScreenConnect sebagai Saluran Cadangan

Berikutan penubuhan saluran akses utama, penyerang menggunakan ConnectWise ScreenConnect sebagai mekanisme akses jauh sekunder. Ini memastikan kegigihan walaupun sambungan SimpleHelp awal dikenal pasti dan disekat.

Penggunaan pelbagai alat yang sah mengetengahkan strategi akses berlapis yang direka untuk ketahanan dan kerahsiaan, sekali gus merumitkan usaha pengesanan dan tindak balas insiden.

Impak Operasi: Kawalan Senyap Di Bawah Radar

Versi SimpleHelp (5.0.1) yang digunakan menyediakan satu set ciri pentadbiran jarak jauh yang mantap. Setelah dibenamkan dalam persekitaran, penyerang memperoleh keupayaan untuk beroperasi secara bebas dan berhati-hati. Organisasi yang dikompromi terdedah kepada eksploitasi berterusan, kerana penyerang boleh memasuki semula sistem sesuka hati.

Persekitaran tersebut secara efektifnya menjadi aset terkawal, di mana musuh boleh melaksanakan arahan secara senyap, memindahkan fail dalam kedua-dua arah dan bergerak secara lateral merentasi rangkaian. Oleh kerana semua aktiviti nampaknya berasal daripada perisian yang ditandatangani secara sah yang dihasilkan oleh vendor UK yang bereputasi, antivirus tradisional dan pertahanan berasaskan tandatangan sering gagal mengesan pencerobohan tersebut.

Kesimpulan: Pelan Tindakan untuk Pencerobohan Moden

VENOMOUS#HELPER menunjukkan trend yang semakin meningkat dalam memanfaatkan alatan pentadbiran yang sah untuk tujuan yang berniat jahat. Dengan menggabungkan kejuruteraan sosial, penyalahgunaan perisian yang dipercayai dan mekanisme akses yang berlebihan, kempen ini mencapai kegigihan, kerahsiaan dan fleksibiliti operasi. Pendekatan ini menggariskan keperluan mendesak untuk pemantauan tingkah laku, prinsip sifar kepercayaan dan penelitian yang dipertingkatkan terhadap penggunaan alatan yang sah dalam persekitaran perusahaan.

 

Trending

Paling banyak dilihat

Memuatkan...