Rabattoffert för flera licenser
Hotdatabas Nätfiske VENOMOUS#HELPER Nätfiskekampanj

VENOMOUS#HELPER Nätfiskekampanj

Med Mezo år Nätfiske
Översätt till:

En sofistikerad nätfiskekampanj, identifierad som VENOMOUS#HELPER, har varit aktiv sedan åtminstone april 2025 och riktar sig mot flera attackvektorer genom missbruk av legitima verktyg för fjärrövervakning och hantering (RMM). Mer än 80 organisationer, främst i USA, har drabbats. Aktiviteten överlappar tidigare dokumenterade kluster kända som STAC6405. Även om tillskrivningen fortfarande är osäker, överensstämmer de operativa mönstren starkt med ekonomiskt drivna Initial Access Brokers (IABs) eller ransomware-prekursorgrupper som försöker etablera fotfäste för senare utnyttjande.

Att leva på betrodda verktyg: Missbruk av legitim RMM-programvara

I stället för att använda öppet skadlig programvara förlitar sig angriparna på anpassade versioner av legitima verktyg som SimpleHelp och ConnectWise ScreenConnect. Eftersom dessa applikationer ofta används i företagsmiljöer kringgår deras närvaro ofta traditionella säkerhetskontroller och undviker att väcka misstankar.

Den samtidiga driftsättningen av båda verktygen är en avsiktlig taktik. Genom att etablera dubbla fjärråtkomstkanaler säkerställer angriparna operativ motståndskraft. Om en anslutning upptäcks och neutraliseras förblir den andra kanalen aktiv, vilket möjliggör fortsatt obehörig åtkomst utan avbrott.

Ingångspunkt för nätfiske: Social manipulation med en betrodd förklädnad

Attackkedjan börjar med ett noggrant utformat nätfiskemejl som utger sig för att vara den amerikanska socialförsäkringsmyndigheten (SSA). Meddelandet uppmanar mottagarna att verifiera sin e-postadress och ladda ner ett påstått SSA-utdrag via en inbäddad länk.

Det är värt att notera att länken leder offren till en legitim men komprometterad mexikansk företagswebbplats, vilket visar på en avsiktlig ansträngning att undvika skräppostfilter och ryktesbaserade försvar. Därifrån omdirigeras offren till en andra angriparkontrollerad domän, som är värd för den skadliga nyttolasten förklädd till ett legitimt dokument.

Nyttolastleverans och beständighet: Konstruktion av långsiktig åtkomst

När nyttolasten, som är paketerad som en körbar Windows-fil, har laddats ner, startar den installationen av SimpleHelp RMM-verktyget. Angriparna tros ha komprometterat ett cPanel-konto på värdservern för att expandera den skadliga filen.

Efter körning etablerar skadlig programvara uthållighet och motståndskraft genom flera mekanismer:

  • Installation som Windows-tjänst med beständighetsfunktioner i felsäkert läge
  • Implementering av en självläkande övervakningsfunktion som automatiskt startar om tjänsten om den avslutas
  • Regelbunden uppräkning av installerade säkerhetsprodukter via root\SecurityCenter2 WMI-namnrymden var 67:e sekund
  • Kontinuerlig övervakning av användaraktivitet med 23 sekunders intervall

Dessa tekniker säkerställer att den skadliga närvaron förblir aktiv, anpassningsbar och svår att utrota.

Privilegieupptrappning och fullständig systemkontroll

För att uppnå fullständig interaktiv kontroll över det komprometterade systemet eskalerar SimpleHelp-klienten privilegier genom att förvärva SeDebugPrivilege via AdjustTokenPrivileges. Dessutom utnyttjas en legitim komponent i programvaran, 'elev_win.exe', för att få åtkomst på SYSTEM-nivå.

Denna förhöjda privilegiumnivå gör det möjligt för angripare att:

  • Övervaka och registrera skärmaktivitet
  • Injicera tangenttryckningar i realtid
  • Få åtkomst till känsliga resurser inom användarens kontext

Sådana funktioner ger effektivt fullständig kontroll över offrets miljö utan att utlösa konventionella säkerhetsvarningar.

Redundant åtkomststrategi: ScreenConnect som reservkanal

Efter att den primära åtkomstkanalen har etablerats, distribuerar angripare ConnectWise ScreenConnect som en sekundär fjärråtkomstmekanism. Detta säkerställer beständighet även om den initiala SimpleHelp-anslutningen identifieras och blockeras.

Användningen av flera legitima verktyg belyser en flera lager på skikten utformad för hållbarhet och stealth, vilket komplicerar detektering och incidenthantering.

Operativ påverkan: Tyst kontroll under radarn

Den driftsatta SimpleHelp-versionen (5.0.1) erbjuder en robust uppsättning funktioner för fjärradministration. När den väl är integrerad i miljön får angripare möjligheten att arbeta fritt och diskret. Den komprometterade organisationen utsätts för fortsatt exploatering, eftersom angriparna kan komma in i systemet igen när de vill.

Miljön blir i praktiken en kontrollerad tillgång, där motståndare kan utföra kommandon i tysthet, överföra filer i båda riktningarna och röra sig lateralt över nätverket. Eftersom all aktivitet verkar komma från legitimt signerad programvara producerad av en ansedd brittisk leverantör, misslyckas ofta traditionella antivirus- och signaturbaserade försvar med att upptäcka intrånget.

Slutsats: En ritning för moderna intrång

VENOMOUS#HELPER exemplifierar den växande trenden att utnyttja legitima administrativa verktyg för skadliga syften. Genom att kombinera social ingenjörskonst, missbruk av betrodd programvara och redundanta åtkomstmekanismer uppnår kampanjen uthållighet, smygande och operativ flexibilitet. Denna metod understryker det akuta behovet av beteendeövervakning, nollförtroendeprinciper och ökad granskning av legitim verktygsanvändning i företagsmiljöer.

 

Trendigt

Mest sedda

Läser in...