Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări phishing Campanie de phishing VENOMOUS#HELPER

Campanie de phishing VENOMOUS#HELPER

Până în Mezo în phishing
Tradu in:

O campanie sofisticată de phishing, identificată drept VENOMOUS#HELPER, este activă cel puțin din aprilie 2025, vizând mai mulți vectori de atac prin abuzul de instrumente legitime de monitorizare și gestionare la distanță (RMM). Peste 80 de organizații, predominant din Statele Unite, au fost afectate. Activitatea se suprapune cu clustere documentate anterior, cunoscute sub numele de STAC6405. Deși atribuirea rămâne incertă, modelele operaționale se aliniază puternic cu cele ale brokerilor de acces inițial (IAB) sau ale grupurilor precursoare ale ransomware-ului, care încearcă să stabilească puncte de sprijin pentru o exploatare ulterioară.

Trăind de pe urma instrumentelor de încredere: Abuzul de software RMM legitim

În loc să implementeze software evident rău intenționat, atacatorii se bazează pe versiuni personalizate ale unor instrumente legitime, cum ar fi SimpleHelp și ConnectWise ScreenConnect. Deoarece aceste aplicații sunt utilizate frecvent în mediile de întreprindere, prezența lor ocolește adesea controalele de securitate tradiționale și evită stârnirea suspiciunilor.

Implementarea simultană a ambelor instrumente este o tactică deliberată. Prin stabilirea unor canale duale de acces la distanță, atacatorii asigură reziliența operațională. Dacă o conexiune este detectată și neutralizată, al doilea canal rămâne activ, permițând accesul neautorizat continuu, fără întrerupere.

Punct de intrare în phishing: Inginerie socială cu o deghizare de încredere

Lanțul de atac începe cu un e-mail de phishing atent elaborat care se prezintă drept Administrația Securității Sociale din SUA (SSA). Mesajul îndeamnă destinatarii să își verifice adresa de e-mail și să descarce o presupusă declarație SSA prin intermediul unui link încorporat.

În mod special, linkul direcționează victimele către un site web comercial mexican legitim, dar compromis, demonstrând un efort intenționat de a evita filtrele antispam și apărarea bazată pe reputație. De acolo, victimele sunt redirecționate către un al doilea domeniu controlat de atacator, care găzduiește sarcina utilă malițioasă deghizată într-un document legitim.

Livrarea și persistența sarcinii utile: Proiectarea accesului pe termen lung

Odată descărcată, sarcina utilă, ambalată ca un executabil Windows, inițiază instalarea instrumentului SimpleHelp RMM. Se crede că atacatorii au compromis un cont cPanel de pe serverul de găzduire pentru a plasa fișierul rău intenționat.

După execuție, malware-ul își stabilește persistența și reziliența prin mai multe mecanisme:

  • Instalare ca serviciu Windows cu capacități de persistență în modul Safe Mode
  • Implementarea unui sistem de supraveghere cu auto-reparare care repornește automat serviciul dacă este terminat
  • Enumerarea regulată a produselor de securitate instalate prin intermediul spațiului de nume WMI root\SecurityCenter2 la fiecare 67 de secunde
  • Monitorizare continuă a activității utilizatorilor la intervale de 23 de secunde

Aceste tehnici asigură că prezența rău intenționată rămâne activă, adaptivă și dificil de eradicat.

Escaladarea privilegiilor și controlul complet al sistemului

Pentru a obține control interactiv complet asupra sistemului compromis, clientul SimpleHelp escaladează privilegiile prin achiziționarea de SeDebugPrivilege prin AdjustTokenPrivileges. În plus, o componentă legitimă a software-ului, „elev_win.exe”, este utilizată pentru a obține acces la nivel de SISTEM.

Acest nivel ridicat de privilegii permite atacatorilor să:

  • Monitorizați și capturați activitatea ecranului
  • Injectați apăsările de taste în timp real
  • Accesați resurse sensibile în contextul utilizatorului

Astfel de capacități oferă efectiv control complet asupra mediului victimei fără a declanșa alerte de securitate convenționale.

Strategie de acces redundant: ScreenConnect ca și canal de rezervă

După stabilirea canalului de acces principal, atacatorii implementează ConnectWise ScreenConnect ca mecanism secundar de acces la distanță. Acest lucru asigură persistența chiar dacă conexiunea inițială SimpleHelp este identificată și blocată.

Utilizarea mai multor instrumente legitime evidențiază o strategie de acces stratificată, concepută pentru durabilitate și discreție, complicând eforturile de detectare și răspuns la incidente.

Impact operațional: Control silențios sub radar

Versiunea SimpleHelp implementată (5.0.1) oferă un set robust de funcții de administrare la distanță. Odată integrate în mediu, atacatorii dobândesc capacitatea de a opera liber și discret. Organizația compromisă este expusă exploatării continue, deoarece atacatorii pot reintra în sistem după bunul plac.

Mediul devine practic un activ controlat, unde adversarii pot executa comenzi în mod silențios, pot transfera fișiere în ambele direcții și se pot deplasa lateral în rețea. Deoarece toată activitatea pare să provină de la software semnat legitim, produs de un furnizor britanic de renume, antivirusurile tradiționale și apărarea bazată pe semnături adesea nu reușesc să detecteze intruziunea.

Concluzie: Un plan pentru intruziuni moderne

VENOMOUS#HELPER exemplifică tendința crescândă de utilizare a instrumentelor administrative legitime în scopuri rău intenționate. Prin combinarea ingineriei sociale, a abuzului de software de încredere și a mecanismelor de acces redundante, campania atinge persistență, discreție și flexibilitate operațională. Această abordare subliniază nevoia urgentă de monitorizare comportamentală, principii zero-trust și o verificare sporită a utilizării instrumentelor legitime în mediile enterprise.

 

Trending

Cele mai văzute

Se încarcă...