VENOMOUS#HELPER phishing kampanja
Sofisticirana phishing kampanja, identificirana kot VENOMOUS#HELPER, je aktivna vsaj od aprila 2025 in cilja na več vektorjev napadov z zlorabo legitimnih orodij za oddaljeno spremljanje in upravljanje (RMM). Prizadetih je bilo več kot 80 organizacij, predvsem v Združenih državah Amerike. Dejavnost se prekriva s prej dokumentiranimi skupinami, znanimi kot STAC6405. Čeprav je pripisovanje še vedno negotova, se operativni vzorci močno ujemajo s finančno usmerjenimi posredniki za začetni dostop (IAB) ali skupinami predhodnikov izsiljevalske programske opreme, ki si prizadevajo vzpostaviti oporišče za kasnejšo izkoriščanje.
Kazalo
Živeti z zaupanja vrednimi orodji: Zloraba legitimne programske opreme RMM
Namesto uporabe očitno zlonamerne programske opreme se napadalci zanašajo na prilagojene različice legitimnih orodij, kot sta SimpleHelp in ConnectWise ScreenConnect. Ker se te aplikacije pogosto uporabljajo v poslovnih okoljih, njihova prisotnost pogosto zaobide tradicionalne varnostne kontrole in ne vzbuja suma.
Sočasna namestitev obeh orodij je namerna taktika. Z vzpostavitvijo dvojnih kanalov za oddaljeni dostop napadalci zagotavljajo operativno odpornost. Če je ena povezava zaznana in nevtralizirana, ostane drugi kanal aktiven, kar omogoča nadaljnji nepooblaščen dostop brez prekinitev.
Vstopna točka za lažno predstavljanje: socialni inženiring z zaupanja vredno preobleko
Napadalna veriga se začne s skrbno oblikovanim lažnim e-poštnim sporočilom, ki se izdaja za ameriško upravo za socialno varnost (SSA). Sporočilo prejemnike poziva, naj preverijo svoj e-poštni naslov in prek vdelane povezave prenesejo domnevno izjavo SSA.
Omeniti velja, da povezava žrtve usmerja na legitimno, a ogroženo spletno mesto mehiškega podjetja, kar dokazuje namerno prizadevanje za izogibanje filtrom neželene pošte in obrambi, ki temelji na ugledu. Od tam so žrtve preusmerjene na drugo domeno, ki jo nadzoruje napadalec in gosti zlonamerno vsebino, prikrito kot legitimen dokument.
Dostava in trajnost koristnega tovora: inženiring dolgoročnega dostopa
Ko je prenos izveden kot izvedljiva datoteka za Windows, se sproži namestitev orodja SimpleHelp RMM. Domneva se, da so napadalci ogrozili račun cPanel na gostovalnem strežniku, da bi namestili zlonamerno datoteko.
Po izvedbi zlonamerna programska oprema vzpostavi obstojnost in odpornost prek več mehanizmov:
- Namestitev kot storitev sistema Windows z možnostmi ohranjanja v varnem načinu
- Namestitev samopopravljalnega nadzornega sistema, ki samodejno znova zažene storitev, če je prekinjena
- Redno naštevanje nameščenih varnostnih izdelkov prek imenskega prostora WMI root\SecurityCenter2 vsakih 67 sekund
- Neprekinjeno spremljanje uporabniške aktivnosti v 23-sekundnih intervalih
Te tehnike zagotavljajo, da zlonamerna prisotnost ostane aktivna, prilagodljiva in jo je težko izkoreniniti.
Eskalacija privilegijev in celoten nadzor sistema
Za dosego popolnega interaktivnega nadzora nad ogroženim sistemom odjemalec SimpleHelp poveča privilegije s pridobitvijo SeDebugPrivilege prek AdjustTokenPrivileges. Poleg tega se za pridobitev dostopa na ravni SISTEMA uporabi legitimna komponenta programske opreme, 'elev_win.exe'.
Ta povišana raven privilegijev napadalcem omogoča:
- Spremljanje in zajemanje aktivnosti zaslona
- Vbrizgavanje pritiskov tipk v realnem času
- Dostop do občutljivih virov znotraj uporabnikovega konteksta
Takšne zmogljivosti dejansko omogočajo popoln nadzor nad okoljem žrtve, ne da bi pri tem sprožile običajna varnostna opozorila.
Strategija redundantnega dostopa: ScreenConnect kot rezervni kanal
Po vzpostavitvi primarnega dostopnega kanala napadalci namestijo ConnectWise ScreenConnect kot sekundarni mehanizem za oddaljeni dostop. To zagotavlja obstojnost, tudi če je začetna povezava SimpleHelp prepoznana in blokirana.
Uporaba več legitimnih orodij poudarja večplastno strategijo dostopa, zasnovano za vzdržljivost in prikritost, kar otežuje odkrivanje in odzivanje na incidente.
Operativni vpliv: Tihi nadzor pod radarjem
Različica SimpleHelp (5.0.1) ponuja robusten nabor funkcij za oddaljeno upravljanje. Ko je vgrajen v okolje, lahko napadalci delujejo prosto in diskretno. Ogrožena organizacija je izpostavljena nenehnemu izkoriščanju, saj lahko napadalci po želji ponovno vstopijo v sistem.
Okolje dejansko postane nadzorovano sredstvo, kjer lahko nasprotniki tiho izvajajo ukaze, prenašajo datoteke v obe smeri in se premikajo lateralno po omrežju. Ker se zdi, da vsa dejavnost izvira iz legitimno podpisane programske opreme, ki jo je izdelal ugleden britanski prodajalec, tradicionalni protivirusni programi in obramba na podlagi podpisov pogosto ne zaznajo vdora.
Zaključek: Načrt za sodobne vdore
VENOMOUS#HELPER ponazarja naraščajoči trend izkoriščanja legitimnih administrativnih orodij za zlonamerne namene. Z združevanjem socialnega inženiringa, zlorabe zaupanja vredne programske opreme in redundantnih mehanizmov dostopa kampanja dosega vztrajnost, prikritost in operativno prilagodljivost. Ta pristop poudarja nujno potrebo po spremljanju vedenja, načelih ničelnega zaupanja in okrepljenem nadzoru nad uporabo legitimnih orodij v poslovnih okoljih.
