Oferta rabatowa na wiele licencji
Baza danych zagrożeń Phishing Kampania phishingowa VENOMOUS#HELPER

Kampania phishingowa VENOMOUS#HELPER

Do Mezo w Phishing
Przetłumacz na:

Zaawansowana kampania phishingowa, zidentyfikowana jako VENOMOUS#HELPER, jest aktywna co najmniej od kwietnia 2025 roku, atakując wiele wektorów ataków poprzez wykorzystywanie legalnych narzędzi do zdalnego monitorowania i zarządzania (RMM). Atak dotknął ponad 80 organizacji, głównie w Stanach Zjednoczonych. Aktywność ta pokrywa się z wcześniej udokumentowanymi klastrami znanymi jako STAC6405. Chociaż atrybucja pozostaje niepewna, schematy działania wyraźnie wskazują na finansowe działania brokerów dostępu początkowego (IAB) lub grup prekursorów ransomware, które starają się zdobyć przyczółki do późniejszej eksploatacji.

Życie z zaufanymi narzędziami: nadużywanie legalnego oprogramowania RMM

Zamiast wdrażać jawnie złośliwe oprogramowanie, atakujący polegają na zmodyfikowanych wersjach legalnych narzędzi, takich jak SimpleHelp i ConnectWise ScreenConnect. Ponieważ aplikacje te są powszechnie używane w środowiskach korporacyjnych, ich obecność często omija tradycyjne zabezpieczenia i nie budzi podejrzeń.

Jednoczesne wdrożenie obu narzędzi to celowa taktyka. Ustanawiając podwójne kanały dostępu zdalnego, atakujący zapewniają sobie odporność operacyjną. Jeśli jedno połączenie zostanie wykryte i zneutralizowane, drugi kanał pozostaje aktywny, umożliwiając nieprzerwany, nieautoryzowany dostęp.

Punkt wejścia phishingu: socjotechnika z zaufanym kamuflażem

Łańcuch ataku rozpoczyna się od starannie spreparowanego e-maila phishingowego podszywającego się pod amerykańską Administrację Ubezpieczeń Społecznych (SSA). Wiadomość namawia odbiorców do weryfikacji adresu e-mail i pobrania rzekomego oświadczenia SSA za pośrednictwem osadzonego linku.

Co ciekawe, link kieruje ofiary do legalnej, ale zainfekowanej witryny meksykańskiej firmy, co świadczy o celowym działaniu mającym na celu ominięcie filtrów antyspamowych i zabezpieczeń opartych na reputacji. Stamtąd ofiary są przekierowywane do drugiej domeny kontrolowanej przez atakującego, w której znajduje się złośliwy kod podszywający się pod legalny dokument.

Dostarczanie i trwałość ładunku: projektowanie dostępu długoterminowego

Po pobraniu, ładunek, spakowany jako plik wykonywalny systemu Windows, inicjuje instalację narzędzia SimpleHelp RMM. Uważa się, że atakujący włamali się na konto cPanel na serwerze hostingowym, aby umieścić tam złośliwy plik.

Po uruchomieniu złośliwe oprogramowanie staje się trwałe i odporne za pomocą kilku mechanizmów:

  • Instalacja jako usługa systemu Windows z możliwością zachowania trybu awaryjnego
  • Wdrożenie samonaprawiającego się modułu nadzorującego, który automatycznie ponownie uruchamia usługę po jej zamknięciu
  • Regularne wyliczanie zainstalowanych produktów zabezpieczających za pośrednictwem przestrzeni nazw WMI root\SecurityCenter2 co 67 sekund
  • Ciągły monitoring aktywności użytkownika w odstępach 23-sekundowych

Techniki te zapewniają, że złośliwa obecność pozostaje aktywna, adaptacyjna i trudna do wyeliminowania.

Eskalacja uprawnień i pełna kontrola systemu

Aby uzyskać pełną interaktywną kontrolę nad zainfekowanym systemem, klient SimpleHelp zwiększa uprawnienia, uzyskując SeDebugPrivilege za pośrednictwem AdjustTokenPrivileges. Dodatkowo, legalny komponent oprogramowania, „elev_win.exe”, jest wykorzystywany do uzyskania dostępu na poziomie SYSTEMU.

Dzięki temu podwyższonemu poziomowi uprawnień atakujący mogą:

  • Monitoruj i przechwytuj aktywność na ekranie
  • Wstrzykuj naciśnięcia klawiszy w czasie rzeczywistym
  • Uzyskaj dostęp do poufnych zasobów w kontekście użytkownika

Takie możliwości zapewniają w praktyce pełną kontrolę nad środowiskiem ofiary bez uruchamiania konwencjonalnych alertów bezpieczeństwa.

Strategia dostępu redundantnego: ScreenConnect jako kanał zapasowy

Po ustanowieniu głównego kanału dostępu atakujący wdrażają ConnectWise ScreenConnect jako wtórny mechanizm zdalnego dostępu. Zapewnia to trwałość nawet w przypadku zidentyfikowania i zablokowania początkowego połączenia SimpleHelp.

Użycie wielu legalnych narzędzi podkreśla wielowarstwową strategię dostępu zaprojektowaną z myślą o trwałości i ukryciu, co komplikuje wykrywanie incydentów i reagowanie na nie.

Wpływ operacyjny: cicha kontrola poza radarem

Wdrożona wersja SimpleHelp (5.0.1) oferuje rozbudowany zestaw funkcji zdalnej administracji. Po wbudowaniu w środowisko atakujący zyskują możliwość swobodnego i dyskretnego działania. Zaatakowana organizacja pozostaje narażona na ciągłe ataki, ponieważ atakujący mogą w każdej chwili ponownie uzyskać dostęp do systemu.

Środowisko staje się w praktyce kontrolowanym zasobem, w którym atakujący mogą dyskretnie wykonywać polecenia, przesyłać pliki w obu kierunkach i poruszać się po sieci. Ponieważ cała aktywność wydaje się pochodzić z legalnie podpisanego oprogramowania, wyprodukowanego przez renomowanego brytyjskiego dostawcę, tradycyjne programy antywirusowe i zabezpieczenia oparte na sygnaturach często nie wykrywają włamania.

Wnioski: Plan działania na rzecz nowoczesnych włamań

VENOMOUS#HELPER ilustruje rosnący trend wykorzystywania legalnych narzędzi administracyjnych do szkodliwych celów. Łącząc socjotechnikę, sprawdzone metody nadużywania oprogramowania i redundantne mechanizmy dostępu, kampania zapewnia trwałość, dyskrecję i elastyczność operacyjną. To podejście podkreśla pilną potrzebę monitorowania zachowań, zasad „zero zaufania” i wzmożonej kontroli legalnego wykorzystania narzędzi w środowiskach korporacyjnych.

 

Popularne

Najczęściej oglądane

Ładowanie...