Фишинг кампања VENOMOUS#HELPER

Софистицирана фишинг кампања, идентификована као VENOMOUS#HELPER, активна је најмање од априла 2025. године, циљајући вишеструке векторе напада злоупотребом легитимних алата за даљинско праћење и управљање (RMM). Погођено је више од 80 организација, претежно у Сједињеним Државама. Активност се преклапа са претходно документованим кластерима познатим као STAC6405. Иако је атрибуција и даље неизвесна, оперативни обрасци се снажно поклапају са финансијски вођеним Initial Access Brokers (IAB) или групама претеча ransomware-а које желе да успоставе упоришта за каснију експлоатацију.

Живети од поузданих алата: Злоупотреба легитимног RMM софтвера

Уместо да користе отворено злонамерни софтвер, нападачи се ослањају на прилагођене верзије легитимних алата као што су SimpleHelp и ConnectWise ScreenConnect. Пошто се ове апликације често користе у пословним окружењима, њихово присуство често заобилази традиционалне безбедносне контроле и избегава изазивање сумње.

Истовремено распоређивање оба алата је намерна тактика. Успостављањем двоструких канала за даљински приступ, нападачи обезбеђују оперативну отпорност. Ако се једна веза открије и неутралише, други канал остаје активан, омогућавајући континуирани неовлашћени приступ без прекида.

Улазна тачка фишинга: Социјални инжењеринг са поузданом маском

Ланац напада почиње пажљиво састављеном фишинг имејл поруком која се лажно представља као Америчка администрација за социјално осигурање (SSA). Порука позива примаоце да верификују своју имејл адресу и преузму наводну изјаву SSA путем уграђеног линка.

Приметно је да линк усмерава жртве на легитиман, али компромитовану веб страницу мексичког предузећа, што показује намерни покушај да се заобиђу филтери за спам и одбрана заснована на репутацији. Одатле се жртве преусмеравају на други домен који контролише нападач, а који садржи злонамерни садржај прерушен у легитиман документ.

Испорука и постојаност корисног терета: Инжењеринг дугорочног приступа

Након преузимања, корисни садржај, упакован као извршна датотека за Windows, покреће инсталацију алатке SimpleHelp RMM. Верује се да су нападачи компромитовали cPanel налог на хостинг серверу како би инсталирали злонамерну датотеку.

Након извршења, злонамерни софтвер успоставља постојаност и отпорност путем неколико механизама:

• Инсталација као Windows сервис са могућностима перзистентности у безбедном режиму
• Примена самоизлечећег чувара који аутоматски поново покреће услугу ако се прекине
• Редовно набрајање инсталираних безбедносних производа путем WMI именског простора root\SecurityCenter2 сваких 67 секунди

• Континуирано праћење активности корисника у интервалима од 23 секунде

Ове технике осигуравају да злонамерно присуство остане активно, прилагодљиво и тешко искорениво.

Ескалација привилегија и потпуна контрола система

Да би се постигла потпуна интерактивна контрола над угроженим системом, SimpleHelp клијент ескалира привилегије стицањем SeDebugPrivilege путем AdjustTokenPrivileges. Поред тога, легитимна компонента софтвера, „elev_win.exe“, се користи за добијање приступа на нивоу СИСТЕМА.

Овај повишени ниво привилегија омогућава нападачима да:

• Праћење и снимање активности на екрану
• Убризгавање притиска тастера у реалном времену
• Приступ осетљивим ресурсима у оквиру корисничког контекста

Такве могућности ефикасно пружају потпуну контролу над окружењем жртве без покретања конвенционалних безбедносних упозорења.

Стратегија редундантног приступа: ScreenConnect као резервни канал

Након успостављања примарног приступног канала, нападачи примењују ConnectWise ScreenConnect као секундарни механизам за даљински приступ. Ово осигурава постојаност чак и ако је почетна SimpleHelp веза идентификована и блокирана.

Употреба више легитимних алата истиче слојевиту стратегију приступа дизајнирану за издржљивост и прикривеност, што компликује напоре за откривање и реаговање на инциденте.

Оперативни утицај: Тиха контрола испод радара

Имплементирана верзија SimpleHelp-а (5.0.1) пружа робустан скуп функција за даљинско администрирање. Једном када се уграде у окружење, нападачи добијају могућност да раде слободно и дискретно. Угрожена организација је изложена сталној експлоатацији, јер нападачи могу поново да уђу у систем по жељи.

Окружење ефикасно постаје контролисана имовина, где противници могу тихо да извршавају команде, преносе датотеке у оба смера и да се крећу бочно по мрежи. Пошто се чини да сва активност потиче од легитимно потписаног софтвера који је произвео реномирани британски произвођач, традиционални антивирусни системи и одбрана заснована на потписима често не успевају да открију упад.

Закључак: Нацрт за модерне упаде

VENOMOUS#HELPER је пример растућег тренда коришћења легитимних административних алата у злонамерне сврхе. Комбиновањем социјалног инжењеринга, злоупотребе поузданог софтвера и редундантних механизама приступа, кампања постиже истрајност, прикривеност и оперативну флексибилност. Овај приступ наглашава хитну потребу за праћењем понашања, принципима нултог поверења и побољшаним надзором легитимне употребе алата у пословним окружењима.