Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Fishing Fushata e Phishingut VENOMOUS#HELPER

Fushata e Phishingut VENOMOUS#HELPER

Nga MezoFishing
Përkthe në:

Një fushatë e sofistikuar phishing, e identifikuar si VENOMOUS#HELPER, ka qenë aktive që të paktën nga prilli 2025, duke synuar vektorë të shumtë sulmi përmes abuzimit me mjetet legjitime të Monitorimit dhe Menaxhimit në Distancë (RMM). Më shumë se 80 organizata, kryesisht në Shtetet e Bashkuara, janë prekur. Aktiviteti përputhet me grupe të dokumentuara më parë të njohura si STAC6405. Megjithëse atribuimi mbetet i pasigurt, modelet operative përputhen fort me Ndërmjetësit e Qasjes Fillestare (IAB) të drejtuar financiarisht ose grupet pararendëse të ransomware që kërkojnë të krijojnë terren për shfrytëzim të mëvonshëm.

Jetesa me Mjete të Besuara: Abuzimi i Softuerit Legjitim RMM

Në vend që të përdorin softuerë haptazi keqdashës, sulmuesit mbështeten në versione të personalizuara të mjeteve legjitime si SimpleHelp dhe ConnectWise ScreenConnect. Meqenëse këto aplikacione përdoren zakonisht në mjediset e ndërmarrjeve, prania e tyre shpesh anashkalon kontrollet tradicionale të sigurisë dhe shmang ngritjen e dyshimeve.

Vendosja e njëkohshme e të dy mjeteve është një taktikë e qëllimshme. Duke krijuar kanale të dyfishta aksesi në distancë, sulmuesit sigurojnë qëndrueshmëri operacionale. Nëse një lidhje zbulohet dhe neutralizohet, kanali i dytë mbetet aktiv, duke lejuar akses të vazhdueshëm të paautorizuar pa ndërprerje.

Pika Hyrëse e Phishing-ut: Inxhinieri Sociale me një Maskim të Besueshëm

Zinxhiri i sulmit fillon me një email phishing të hartuar me kujdes që imiton Administratën e Sigurimeve Shoqërore të SHBA-së (SSA). Mesazhi i nxit marrësit të verifikojnë adresën e tyre të email-it dhe të shkarkojnë një deklaratë të supozuar të SSA-së nëpërmjet një lidhjeje të integruar.

Veçanërisht, lidhja i drejton viktimat në një faqe interneti biznesi meksikane legjitime, por të kompromentuar, duke demonstruar një përpjekje të qëllimshme për të shmangur filtrat e spamit dhe mbrojtjet e bazuara në reputacion. Prej andej, viktimat ridrejtohen në një domen të dytë të kontrolluar nga sulmuesi, i cili strehon ngarkesën keqdashëse të maskuar si një dokument legjitim.

Ofrimi i Ngarkesës dhe Qëndrueshmëria: Inxhinieria e Qasjes Afatgjatë

Pasi shkarkohet, ngarkesa, e paketuar si një skedar ekzekutues i Windows, fillon instalimin e mjetit SimpleHelp RMM. Besohet se sulmuesit kanë kompromentuar një llogari cPanel në serverin pritës për të instaluar skedarin keqdashës.

Pas ekzekutimit, programi keqdashës krijon qëndrueshmëri dhe rezistencë përmes disa mekanizmave:

  • Instalimi si një shërbim i Windows me aftësi të qëndrueshme në modalitetin e sigurt
  • Vendosja e një mbikëqyrësi vetë-shërimi që rinis automatikisht shërbimin nëse ndërpritet
  • Numërim i rregullt i produkteve të sigurisë së instaluara nëpërmjet hapësirës së emrave root\SecurityCenter2 WMI çdo 67 sekonda
  • Monitorim i vazhdueshëm i aktivitetit të përdoruesit në intervale 23-sekondëshe

Këto teknika sigurojnë që prania dashakeqe të mbetet aktive, adaptive dhe e vështirë për t'u zhdukur.

Përshkallëzimi i Privilegjit dhe Kontrolli i Plotë i Sistemit

Për të arritur kontroll të plotë interaktiv mbi sistemin e kompromentuar, klienti SimpleHelp përshkallëzon privilegjet duke fituar SeDebugPrivilege përmes AdjustTokenPrivileges. Përveç kësaj, një komponent legjitim i softuerit, 'elev_win.exe', përdoret për të marrë akses në nivelin SYSTEM.

Ky nivel i lartë privilegji u mundëson sulmuesve të:

  • Monitoroni dhe kapni aktivitetin e ekranit
  • Injektoni shtypjet e tasteve në kohë reale
  • Qasuni në burime të ndjeshme brenda kontekstit të përdoruesit

Aftësi të tilla japin në mënyrë efektive kontroll të plotë mbi mjedisin e viktimës pa shkaktuar alarme konvencionale sigurie.

Strategjia e Qasjes së Redunduar: ScreenConnect si një Kanal Rezervë

Pas krijimit të kanalit primar të aksesit, sulmuesit vendosin ConnectWise ScreenConnect si një mekanizëm sekondar të aksesit në distancë. Kjo siguron qëndrueshmëri edhe nëse lidhja fillestare SimpleHelp identifikohet dhe bllokohet.

Përdorimi i mjeteve të shumta legjitime nxjerr në pah një strategji aksesi të shtresuar të projektuar për qëndrueshmëri dhe fshehtësi, duke ndërlikuar përpjekjet e zbulimit dhe reagimit ndaj incidenteve.

Ndikimi Operacional: Kontroll i Heshtur nën Radar

Versioni i SimpleHelp i vendosur (5.0.1) ofron një sërë funksionesh të fuqishme të administrimit në distancë. Pasi integrohen në mjedis, sulmuesit fitojnë aftësinë për të vepruar lirisht dhe në mënyrë diskrete. Organizata e kompromentuar lihet e ekspozuar ndaj shfrytëzimit të vazhdueshëm, pasi sulmuesit mund të rihyjnë në sistem sipas dëshirës.

Mjedisi bëhet në mënyrë efektive një aset i kontrolluar, ku kundërshtarët mund të ekzekutojnë komanda në heshtje, të transferojnë skedarë në të dy drejtimet dhe të lëvizin anash nëpër rrjet. Meqenëse i gjithë aktiviteti duket se buron nga një softuer i nënshkruar legjitimisht i prodhuar nga një shitës me reputacion në Mbretërinë e Bashkuar, mbrojtjet tradicionale antivirus dhe të bazuara në nënshkrime shpesh dështojnë në zbulimin e ndërhyrjes.

Përfundim: Një Plan për Ndërhyrjet Moderne

VENOMOUS#HELPER ilustron trendin në rritje të përdorimit të mjeteve legjitime administrative për qëllime dashakeqe. Duke kombinuar inxhinierinë sociale, abuzimin me softuer të besueshëm dhe mekanizmat e aksesit të tepërt, fushata arrin qëndrueshmëri, fshehtësi dhe fleksibilitet operacional. Kjo qasje nënvizon nevojën urgjente për monitorim të sjelljes, parime zero besimi dhe shqyrtim të shtuar të përdorimit legjitim të mjeteve brenda mjediseve të ndërmarrjeve.

 

Në trend

Më e shikuara

Po ngarkohet...