Фишинговая кампания VENOMOUS#HELPER
С апреля 2025 года активно действует изощренная фишинговая кампания, известная как VENOMOUS#HELPER, нацеленная на множество векторов атаки путем злоупотребления легитимными инструментами удаленного мониторинга и управления (RMM). Пострадало более 80 организаций, преимущественно в США. Эта активность пересекается с ранее задокументированными кластерами, известными как STAC6405. Хотя установление авторства остается неопределенным, оперативные схемы в значительной степени совпадают с действиями финансовых брокеров первоначального доступа (IAB) или групп-предшественников программ-вымогателей, стремящихся закрепиться для последующей эксплуатации.
Оглавление
Использование проверенных инструментов: злоупотребление легитимным программным обеспечением RMM.
Вместо использования откровенно вредоносного программного обеспечения злоумышленники полагаются на модифицированные версии легитимных инструментов, таких как SimpleHelp и ConnectWise ScreenConnect. Поскольку эти приложения широко используются в корпоративных средах, их присутствие часто обходит традиционные средства защиты и не вызывает подозрений.
Одновременное использование обоих инструментов — это преднамеренная тактика. Создавая два канала удаленного доступа, злоумышленники обеспечивают операционную устойчивость. Если одно соединение обнаружено и нейтрализовано, второй канал остается активным, позволяя продолжать несанкционированный доступ без перерыва.
Точка входа в фишинг: социальная инженерия под видом доверенного лица.
Цепочка атак начинается с тщательно составленного фишингового электронного письма, имитирующего письмо от Управления социального обеспечения США (SSA). В сообщении получателям предлагается подтвердить свой адрес электронной почты и загрузить якобы выписку из SSA по встроенной ссылке.
Примечательно, что ссылка ведет жертв на легитимный, но скомпрометированный веб-сайт мексиканской компании, что демонстрирует преднамеренную попытку обойти спам-фильтры и системы защиты, основанные на репутации. Оттуда жертвы перенаправляются на второй домен, контролируемый злоумышленником, на котором размещен вредоносный код, замаскированный под легитимный документ.
Доставка и сохранение полезной нагрузки: проектирование долговременного доступа
После загрузки вредоносная программа, упакованная в виде исполняемого файла для Windows, запускает установку инструмента SimpleHelp RMM. Предполагается, что злоумышленники взломали учетную запись cPanel на хостинг-сервере, чтобы подготовить вредоносный файл для размещения на сервере.
После запуска вредоносная программа обеспечивает себе устойчивость и постоянное присутствие в сети с помощью нескольких механизмов:
- Установка в качестве службы Windows с возможностью сохранения состояния в безопасном режиме.
- Внедрение самовосстанавливающегося сторожевого таймера, который автоматически перезапускает службу в случае её завершения.
- Регулярное перечисление установленных продуктов безопасности через пространство имен WMI root\SecurityCenter2 каждые 67 секунд.
- Непрерывный мониторинг активности пользователей с интервалом в 23 секунды.
Эти методы гарантируют, что вредоносное присутствие останется активным, адаптивным и трудноискоренимым.
Повышение привилегий и полный контроль над системой.
Для достижения полного интерактивного контроля над скомпрометированной системой клиент SimpleHelp повышает привилегии, получая права SeDebugPrivilege через AdjustTokenPrivileges. Кроме того, для получения доступа уровня SYSTEM используется легитимный компонент программного обеспечения, 'elev_win.exe'.
Повышенный уровень привилегий позволяет злоумышленникам:
- Отслеживайте и записывайте действия на экране.
- Внедряйте нажатия клавиш в режиме реального времени.
- Доступ к конфиденциальным ресурсам в контексте пользователя.
Подобные возможности фактически обеспечивают полный контроль над окружением жертвы без срабатывания обычных оповещений системы безопасности.
Стратегия резервного доступа: ScreenConnect в качестве резервного канала.
После установления основного канала доступа злоумышленники используют ConnectWise ScreenConnect в качестве дополнительного механизма удаленного доступа. Это обеспечивает сохранение активности даже в случае обнаружения и блокировки первоначального соединения с SimpleHelp.
Использование нескольких легитимных инструментов свидетельствует о многоуровневой стратегии доступа, разработанной для обеспечения надежности и скрытности, что усложняет обнаружение и реагирование на инциденты.
Оперативные последствия: скрытое управление вне поля зрения радаров.
Развернутая версия SimpleHelp (5.0.1) предоставляет надежный набор функций удаленного администрирования. После внедрения в среду злоумышленники получают возможность действовать свободно и незаметно. Компрометированная организация остается уязвимой для дальнейшей эксплуатации, поскольку злоумышленники могут повторно проникнуть в систему по своему желанию.
По сути, среда становится контролируемым активом, где злоумышленники могут бесшумно выполнять команды, передавать файлы в обоих направлениях и перемещаться по сети. Поскольку вся активность, по-видимому, исходит от легитимного программного обеспечения с цифровой подписью, разработанного авторитетным британским поставщиком, традиционные антивирусные программы и средства защиты на основе сигнатур часто не могут обнаружить вторжение.
Заключение: План действий для современных вторжений
VENOMOUS#HELPER является примером растущей тенденции использования легитимных административных инструментов в злонамеренных целях. Сочетая социальную инженерию, злоупотребление доверенным программным обеспечением и избыточные механизмы доступа, кампания обеспечивает устойчивость, скрытность и операционную гибкость. Такой подход подчеркивает острую необходимость в поведенческом мониторинге, принципах нулевого доверия и усиленном контроле за использованием легитимных инструментов в корпоративных средах.
