Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing VENOMOUS#HELPER Phishingcampagne

VENOMOUS#HELPER Phishingcampagne

Tegen Mezo in Phishing
Vertalen naar:

Een geavanceerde phishingcampagne, geïdentificeerd als VENOMOUS#HELPER, is sinds ten minste april 2025 actief en richt zich op meerdere aanvalsvectoren door misbruik te maken van legitieme tools voor beheer op afstand (Remote Monitoring and Management, RMM). Meer dan 80 organisaties, voornamelijk in de Verenigde Staten, zijn getroffen. De activiteit overlapt met eerder gedocumenteerde clusters die bekend staan als STAC6405. Hoewel de toewijzing nog onzeker is, komen de operationele patronen sterk overeen met financieel gedreven Initial Access Brokers (IAB's) of ransomware-precursorgroepen die voet aan de grond willen krijgen voor latere exploitatie.

Leven van vertrouwde tools: het misbruik van legitieme RMM-software

In plaats van openlijk kwaadaardige software in te zetten, maken de aanvallers gebruik van aangepaste versies van legitieme tools zoals SimpleHelp en ConnectWise ScreenConnect. Omdat deze applicaties veelvuldig in bedrijfsomgevingen worden gebruikt, omzeilen ze vaak traditionele beveiligingsmaatregelen en wekken ze geen argwaan.

Het gelijktijdig inzetten van beide tools is een weloverwogen tactiek. Door twee aparte toegangskanalen op afstand te creëren, zorgen de aanvallers voor operationele veerkracht. Als één verbinding wordt gedetecteerd en geblokkeerd, blijft het tweede kanaal actief, waardoor onbevoegde toegang ongestoord kan worden voortgezet.

Toegangspunt voor phishing: social engineering met een vertrouwde vermomming

De aanvalsketen begint met een zorgvuldig opgestelde phishing-e-mail die zich voordoet als de Amerikaanse Social Security Administration (SSA). In het bericht worden ontvangers aangespoord hun e-mailadres te verifiëren en een vermeend SSA-overzicht te downloaden via een ingesloten link.

Opvallend is dat de link slachtoffers doorverwijst naar een legitieme, maar gehackte Mexicaanse bedrijfswebsite, wat een opzettelijke poging aantoont om spamfilters en reputatiebeveiliging te omzeilen. Van daaruit worden slachtoffers doorgestuurd naar een tweede domein dat door de aanvaller wordt beheerd en waar de schadelijke software, vermomd als een legitiem document, wordt gehost.

Payloadlevering en -persistentie: het ontwerpen van toegang op lange termijn

Na het downloaden start de payload, verpakt als een Windows-uitvoerbaar bestand, de installatie van de SimpleHelp RMM-tool. De aanvallers zouden een cPanel-account op de hostingserver hebben gehackt om het schadelijke bestand te kunnen verspreiden.

Na de uitvoering zorgt de malware voor persistentie en weerstand tegen infectie via verschillende mechanismen:

  • Installatie als een Windows-service met behoud van de functionaliteit in de veilige modus.
  • Implementatie van een zelfherstellende watchdog die de service automatisch herstart als deze wordt beëindigd.
  • Regelmatige opsomming van geïnstalleerde beveiligingsproducten via de root\SecurityCenter2 WMI-naamruimte elke 67 seconden.
  • Continue monitoring van gebruikersactiviteit met tussenpozen van 23 seconden.

Deze technieken zorgen ervoor dat de kwaadaardige aanwezigheid actief, aanpasbaar en moeilijk uit te roeien blijft.

Escalatie van bevoegdheden en volledige systeemcontrole

Om volledige interactieve controle over het gecompromitteerde systeem te verkrijgen, verhoogt de SimpleHelp-client zijn bevoegdheden door SeDebugPrivilege te verwerven via AdjustTokenPrivileges. Daarnaast wordt een legitiem onderdeel van de software, 'elev_win.exe', gebruikt om toegang op SYSTEM-niveau te verkrijgen.

Dit verhoogde privilege-niveau stelt aanvallers in staat om:

  • Schermactiviteit monitoren en vastleggen
  • Voer toetsaanslagen in realtime in.
  • Toegang tot gevoelige bronnen binnen de context van de gebruiker

Dergelijke mogelijkheden bieden het slachtoffer in feite volledige controle over zijn of haar omgeving, zonder dat er conventionele beveiligingswaarschuwingen afgaan.

Redundante toegangsstrategie: ScreenConnect als terugvalkanaal

Nadat het primaire toegangskanaal is opgezet, zetten aanvallers ConnectWise ScreenConnect in als secundair mechanisme voor toegang op afstand. Dit zorgt ervoor dat de verbinding blijft bestaan, zelfs als de initiële SimpleHelp-verbinding wordt herkend en geblokkeerd.

Het gebruik van meerdere legitieme tools wijst op een gelaagde toegangsstrategie die is ontworpen voor duurzaamheid en onopvallendheid, waardoor detectie en incidentbestrijding worden bemoeilijkt.

Operationele impact: Stille controle onder de radar

De geïmplementeerde SimpleHelp-versie (5.0.1) biedt een robuuste set functies voor beheer op afstand. Eenmaal in de omgeving geïntegreerd, krijgen aanvallers de mogelijkheid om ongehinderd en onopvallend te opereren. De gecompromitteerde organisatie blijft kwetsbaar voor voortdurende aanvallen, aangezien de aanvallers naar believen opnieuw toegang tot het systeem kunnen krijgen.

De omgeving wordt in feite een gecontroleerd object, waar tegenstanders stilletjes commando's kunnen uitvoeren, bestanden in beide richtingen kunnen overdragen en zich lateraal door het netwerk kunnen bewegen. Omdat alle activiteiten afkomstig lijken te zijn van legitiem ondertekende software van een gerenommeerde Britse leverancier, slagen traditionele antivirus- en op signaturen gebaseerde beveiligingssystemen er vaak niet in de inbraak te detecteren.

Conclusie: Een blauwdruk voor moderne inbraken

VENOMOUS#HELPER illustreert de groeiende trend van het misbruiken van legitieme beheertools voor kwaadwillige doeleinden. Door social engineering, misbruik van vertrouwde software en redundante toegangsmechanismen te combineren, bereikt de campagne persistentie, onzichtbaarheid en operationele flexibiliteit. Deze aanpak onderstreept de dringende noodzaak van gedragsmonitoring, zero-trust-principes en een verscherpt toezicht op het gebruik van legitieme tools binnen bedrijfsomgevingen.

 

Trending

Meest bekeken

Bezig met laden...