Rabatttilbud for flere lisenser
Trusseldatabase Phishing VENOMOUS#HELPER Phishing-kampanje

VENOMOUS#HELPER Phishing-kampanje

Med Mezo i Phishing
Oversett til:

En sofistikert phishing-kampanje, identifisert som VENOMOUS#HELPER, har vært aktiv siden minst april 2025, og har rettet seg mot flere angrepsvektorer gjennom misbruk av legitime verktøy for fjernovervåking og administrasjon (RMM). Mer enn 80 organisasjoner, hovedsakelig i USA, har blitt berørt. Aktiviteten overlapper med tidligere dokumenterte klynger kjent som STAC6405. Selv om tilskrivningen fortsatt er usikker, samsvarer driftsmønstrene sterkt med økonomisk drevne Initial Access Brokers (IAB-er) eller grupper som forløper til ransomware og som søker å etablere fotfeste for senere utnyttelse.

Å leve av pålitelige verktøy: Misbruk av legitim RMM-programvare

I stedet for å distribuere åpenlyst skadelig programvare, stoler angriperne på tilpassede versjoner av legitime verktøy som SimpleHelp og ConnectWise ScreenConnect. Fordi disse applikasjonene ofte brukes i bedriftsmiljøer, omgår deres tilstedeværelse ofte tradisjonelle sikkerhetskontroller og unngår å vekke mistanke.

Samtidig utrulling av begge verktøyene er en bevisst taktikk. Ved å etablere doble kanaler for fjerntilgang sikrer angriperne driftsrobusthet. Hvis én forbindelse oppdages og nøytraliseres, forblir den andre kanalen aktiv, noe som tillater fortsatt uautorisert tilgang uten avbrudd.

Inngangspunkt for phishing: Sosial manipulering med en pålitelig forkledning

Angrepskjeden starter med en nøye utformet phishing-e-post som utgir seg for å være den amerikanske trygdemyndigheten (SSA). Meldingen oppfordrer mottakerne til å bekrefte e-postadressen sin og laste ned en angivelig SSA-erklæring via en innebygd lenke.

Det er verdt å merke seg at lenken leder ofrene til et legitimt, men kompromittert meksikansk forretningsnettsted, noe som viser en bevisst innsats for å unngå spamfiltre og omdømmebasert forsvar. Derfra blir ofrene omdirigert til et annet angriperkontrollert domene, som er vert for den ondsinnede nyttelasten forkledd som et legitimt dokument.

Nyttelastlevering og utholdenhet: Konstruksjon av langsiktig tilgang

Når den er nedlastet, starter nyttelasten, pakket som en kjørbar Windows-fil, installasjonen av SimpleHelp RMM-verktøyet. Angriperne antas å ha kompromittert en cPanel-konto på vertsserveren for å iscenesette den skadelige filen.

Etter kjøring etablerer skadevaren utholdenhet og robusthet gjennom flere mekanismer:

  • Installasjon som en Windows-tjeneste med vedvarende funksjoner for sikkermodus
  • Implementering av en selvreparerende overvåkningstjeneste som automatisk starter tjenesten på nytt hvis den avsluttes
  • Regelmessig opplisting av installerte sikkerhetsprodukter via root\SecurityCenter2 WMI-navneområdet hvert 67. sekund.
  • Kontinuerlig overvåking av brukeraktivitet med intervaller på 23 sekunder

Disse teknikkene sikrer at den ondsinnede tilstedeværelsen forblir aktiv, tilpasningsdyktig og vanskelig å utrydde.

Rettighetseskalering og full systemkontroll

For å oppnå full interaktiv kontroll over det kompromitterte systemet, eskalerer SimpleHelp-klienten privilegiene ved å tilegne seg SeDebugPrivilege gjennom AdjustTokenPrivileges. I tillegg utnyttes en legitim komponent av programvaren, 'elev_win.exe', for å få tilgang på SYSTEM-nivå.

Dette forhøyede privilegiumsnivået lar angripere:

  • Overvåk og registrer skjermaktivitet
  • Injisere tastetrykk i sanntid
  • Tilgang til sensitive ressurser innenfor brukerens kontekst

Slike funksjoner gir effektivt full kontroll over offerets miljø uten å utløse konvensjonelle sikkerhetsvarsler.

Redundant tilgangsstrategi: ScreenConnect som en reservekanal

Etter etableringen av den primære tilgangskanalen, distribuerer angripere ConnectWise ScreenConnect som en sekundær mekanisme for ekstern tilgang. Dette sikrer vedvarende funksjonalitet selv om den første SimpleHelp-tilkoblingen identifiseres og blokkeres.

Bruken av flere legitime verktøy fremhever en lagdelt tilgangsstrategi designet for holdbarhet og stealth, noe som kompliserer deteksjon og hendelsesrespons.

Operasjonell innvirkning: Stille kontroll under radaren

Den distribuerte SimpleHelp-versjonen (5.0.1) tilbyr et robust sett med funksjoner for fjernadministrasjon. Når den er innebygd i miljøet, får angripere muligheten til å operere fritt og diskret. Den kompromitterte organisasjonen blir utsatt for kontinuerlig utnyttelse, ettersom angriperne kan komme inn i systemet igjen når de vil.

Miljøet blir effektivt en kontrollert ressurs, hvor motstandere kan utføre kommandoer i stillhet, overføre filer i begge retninger og bevege seg sidelengs over nettverket. Fordi all aktivitet ser ut til å stamme fra legitimt signert programvare produsert av en anerkjent britisk leverandør, klarer ofte ikke tradisjonelle antivirus- og signaturbaserte forsvar å oppdage inntrengingen.

Konklusjon: En plan for moderne inntrenging

VENOMOUS#HELPER eksemplifiserer den økende trenden med å utnytte legitime administrative verktøy til ondsinnede formål. Ved å kombinere sosial manipulering, misbruk av pålitelig programvare og redundante tilgangsmekanismer, oppnår kampanjen utholdenhet, skjulthet og operasjonell fleksibilitet. Denne tilnærmingen understreker det presserende behovet for atferdsovervåking, nulltillitsprinsipper og økt gransking av legitim verktøybruk i bedriftsmiljøer.

 

Trender

Mest sett

Laster inn...