విషపూరిత#సహాయకుడు ఫిషింగ్ ప్రచారం

VENOMOUS#HELPERగా గుర్తించబడిన ఒక అధునాతన ఫిషింగ్ ప్రచారం, చట్టబద్ధమైన రిమోట్ మానిటరింగ్ అండ్ మేనేజ్‌మెంట్ (RMM) సాధనాలను దుర్వినియోగం చేయడం ద్వారా బహుళ దాడి మార్గాలను లక్ష్యంగా చేసుకుని, కనీసం ఏప్రిల్ 2025 నుండి చురుకుగా ఉంది. ప్రధానంగా యునైటెడ్ స్టేట్స్‌లోని 80కి పైగా సంస్థలు ప్రభావితమయ్యాయి. ఈ కార్యకలాపం, గతంలో నమోదు చేయబడిన STAC6405గా పిలువబడే క్లస్టర్‌లతో అతివ్యాప్తి చెందుతోంది. దీని మూలం ఇంకా అనిశ్చితంగా ఉన్నప్పటికీ, దీని కార్యాచరణ సరళి, భవిష్యత్తులో దోపిడీ చేయడానికి స్థావరాలను ఏర్పాటు చేసుకోవాలని చూస్తున్న, ఆర్థిక ప్రేరేపిత ఇనిషియల్ యాక్సెస్ బ్రోకర్లు (IABలు) లేదా రాన్సమ్‌వేర్ పూర్వగామి సమూహాలతో బలంగా సరిపోలుతోంది.

విశ్వసనీయ సాధనాలపై ఆధారపడటం: చట్టబద్ధమైన RMM సాఫ్ట్‌వేర్ దుర్వినియోగం

ప్రత్యక్షంగా హానికరమైన సాఫ్ట్‌వేర్‌ను ప్రయోగించడానికి బదులుగా, దాడి చేసేవారు సింపుల్‌హెల్ప్ మరియు కనెక్ట్‌వైజ్ స్క్రీన్‌కనెక్ట్ వంటి చట్టబద్ధమైన సాధనాల అనుకూలీకరించిన వెర్షన్‌లపై ఆధారపడతారు. ఈ అప్లికేషన్‌లు సాధారణంగా సంస్థాగత వాతావరణాలలో ఉపయోగించబడతాయి కాబట్టి, వాటి ఉనికి తరచుగా సాంప్రదాయ భద్రతా నియంత్రణలను దాటవేసి, అనుమానాన్ని రేకెత్తించకుండా ఉంటుంది.

రెండు సాధనాలను ఏకకాలంలో మోహరించడం ఒక ఉద్దేశపూర్వక వ్యూహం. ద్వంద్వ రిమోట్ యాక్సెస్ ఛానెల్‌లను ఏర్పాటు చేయడం ద్వారా, దాడి చేసేవారు కార్యాచరణ స్థితిస్థాపకతను నిర్ధారించుకుంటారు. ఒక కనెక్షన్‌ను గుర్తించి, నిష్క్రియం చేసినప్పటికీ, రెండవ ఛానెల్ క్రియాశీలంగా ఉంటుంది, ఇది అంతరాయం లేకుండా అనధికారిక యాక్సెస్‌ను కొనసాగించడానికి అనుమతిస్తుంది.

ఫిషింగ్ ప్రవేశ స్థానం: విశ్వసనీయ మారువేషంతో సామాజిక ఇంజనీరింగ్

ఈ దాడి పరంపర, యూఎస్ సోషల్ సెక్యూరిటీ అడ్మినిస్ట్రేషన్ (SSA)గా నటిస్తున్న ఒక జాగ్రత్తగా రూపొందించిన ఫిషింగ్ ఇమెయిల్‌తో మొదలవుతుంది. ఆ సందేశం, స్వీకర్తలను వారి ఇమెయిల్ చిరునామాను ధృవీకరించుకోవాలని మరియు అందులో పొందుపరిచిన లింక్ ద్వారా SSAకి చెందినదిగా చెప్పబడుతున్న ఒక స్టేట్‌మెంట్‌ను డౌన్‌లోడ్ చేసుకోవాలని కోరుతుంది.

ముఖ్యంగా, ఆ లింక్ బాధితులను చట్టబద్ధమైనదే అయినా హ్యాక్ చేయబడిన ఒక మెక్సికన్ వ్యాపార వెబ్‌సైట్‌కు మళ్లిస్తుంది. ఇది స్పామ్ ఫిల్టర్లు మరియు ప్రతిష్ట ఆధారిత రక్షణలను తప్పించుకోవడానికి ఉద్దేశపూర్వకంగా చేసిన ప్రయత్నాన్ని స్పష్టం చేస్తుంది. అక్కడి నుండి, బాధితులు దాడి చేసేవారి నియంత్రణలో ఉన్న రెండవ డొమైన్‌కు మళ్లించబడతారు. ఆ డొమైన్‌లో, చట్టబద్ధమైన పత్రం రూపంలో మారువేషంలో ఉన్న హానికరమైన పేలోడ్ ఉంటుంది.

పేలోడ్ డెలివరీ మరియు నిలకడ: దీర్ఘకాలిక యాక్సెస్ ఇంజనీరింగ్

డౌన్‌లోడ్ అయిన తర్వాత, విండోస్ ఎగ్జిక్యూటబుల్‌గా ప్యాకేజ్ చేయబడిన పేలోడ్, సింపుల్‌హెల్ప్ RMM టూల్ యొక్క ఇన్‌స్టాలేషన్‌ను ప్రారంభిస్తుంది. హానికరమైన ఫైల్‌ను ఉంచడానికి, దాడి చేసినవారు హోస్టింగ్ సర్వర్‌లోని ఒక cPanel ఖాతాను హ్యాక్ చేశారని భావిస్తున్నారు.

అమలు చేసిన తర్వాత, మాల్వేర్ అనేక యంత్రాంగాల ద్వారా నిలకడను మరియు స్థితిస్థాపకతను ఏర్పరచుకుంటుంది:

• సేఫ్ మోడ్ పర్సిస్టెన్స్ సామర్థ్యాలతో విండోస్ సర్వీస్‌గా ఇన్‌స్టాలేషన్
• సేవ నిలిపివేయబడితే దాన్ని స్వయంచాలకంగా పునఃప్రారంభించే స్వీయ-స్వస్థత వాచ్‌డాగ్‌ను అమలు చేయడం
• ప్రతి 67 సెకన్లకు root\SecurityCenter2 WMI నేమ్‌స్పేస్ ద్వారా ఇన్‌స్టాల్ చేయబడిన భద్రతా ఉత్పత్తుల క్రమబద్ధమైన గణన

ఈ పద్ధతులు హానికరమైన ఉనికి చురుకుగా, పరిస్థితులకు అనుగుణంగా మారుతూ, నిర్మూలించడం కష్టంగా ఉండేలా చూస్తాయి.

అధికారాల పెంపు మరియు పూర్తి వ్యవస్థ నియంత్రణ

హ్యాక్ చేయబడిన సిస్టమ్‌పై పూర్తి ఇంటరాక్టివ్ నియంత్రణను సాధించడానికి, సింపుల్‌హెల్ప్ క్లయింట్ 'AdjustTokenPrivileges' ద్వారా 'SeDebugPrivilege'ను పొంది, అధికారాలను పెంచుకుంటుంది. అదనంగా, సిస్టమ్-స్థాయి యాక్సెస్‌ను పొందడానికి, సాఫ్ట్‌వేర్‌లోని చట్టబద్ధమైన భాగమైన 'elev_win.exe'ను ఉపయోగించుకుంటారు.

ఈ ఉన్నత అధికార స్థాయి దాడి చేసేవారికి ఈ క్రింది వాటిని చేయడానికి వీలు కల్పిస్తుంది:

• స్క్రీన్ కార్యకలాపాలను పర్యవేక్షించండి మరియు సంగ్రహించండి
• నిజ సమయంలో కీస్ట్రోక్‌లను ఇంజెక్ట్ చేయండి
• వినియోగదారుడి సందర్భంలో సున్నితమైన వనరులను యాక్సెస్ చేయండి

ఇటువంటి సామర్థ్యాలు, సాంప్రదాయ భద్రతా హెచ్చరికలను ప్రేరేపించకుండా, బాధితుని పరిసరాలపై సమర్థవంతంగా పూర్తి నియంత్రణను కల్పిస్తాయి.

రిడండెంట్ యాక్సెస్ స్ట్రాటజీ: ఫాల్‌బ్యాక్ ఛానెల్‌గా స్క్రీన్‌కనెక్ట్

ప్రాథమిక యాక్సెస్ ఛానెల్‌ను ఏర్పాటు చేసిన తర్వాత, దాడి చేసేవారు కనెక్ట్‌వైజ్ స్క్రీన్‌కనెక్ట్‌ను ద్వితీయ రిమోట్ యాక్సెస్ యంత్రాంగంగా ఉపయోగిస్తారు. దీనివల్ల, ప్రారంభ సింపుల్‌హెల్ప్ కనెక్షన్‌ను గుర్తించి, నిరోధించినప్పటికీ యాక్సెస్ కొనసాగుతుంది.

అనేక చట్టబద్ధమైన సాధనాల వాడకం, మన్నిక మరియు గోప్యత కోసం రూపొందించిన బహుళ అంచెల యాక్సెస్ వ్యూహాన్ని స్పష్టం చేస్తుంది, ఇది గుర్తింపు మరియు సంఘటన ప్రతిస్పందన ప్రయత్నాలను క్లిష్టతరం చేస్తుంది.

కార్యాచరణ ప్రభావం: రాడార్ కింద నిశ్శబ్ద నియంత్రణ

అమలు చేయబడిన సింపుల్‌హెల్ప్ వెర్షన్ (5.0.1) పటిష్టమైన రిమోట్ అడ్మినిస్ట్రేషన్ ఫీచర్లను అందిస్తుంది. ఇది ఒకసారి సిస్టమ్‌లోకి చొచ్చుకుపోయిన తర్వాత, దాడి చేసేవారు స్వేచ్ఛగా మరియు రహస్యంగా పనిచేసే సామర్థ్యాన్ని పొందుతారు. దాడికి గురైన సంస్థ నిరంతర దోపిడీకి గురవుతుంది, ఎందుకంటే దాడి చేసేవారు తమ ఇష్టానుసారం సిస్టమ్‌లోకి తిరిగి ప్రవేశించగలరు.

ఈ వాతావరణం ప్రభావవంతంగా ఒక నియంత్రిత ఆస్తిగా మారుతుంది, ఇక్కడ శత్రువులు నిశ్శబ్దంగా ఆదేశాలను అమలు చేయగలరు, ఫైళ్లను రెండు దిశలలో బదిలీ చేయగలరు మరియు నెట్‌వర్క్‌లో అడ్డంగా కదలగలరు. ఈ కార్యకలాపాలన్నీ ఒక పేరున్న UK విక్రేతచే ఉత్పత్తి చేయబడిన, చట్టబద్ధంగా సంతకం చేయబడిన సాఫ్ట్‌వేర్ నుండి వచ్చినట్లుగా కనిపించడం వల్ల, సాంప్రదాయ యాంటీవైరస్ మరియు సిగ్నేచర్-ఆధారిత రక్షణలు తరచుగా ఈ చొరబాటును గుర్తించడంలో విఫలమవుతాయి.

ముగింపు: ఆధునిక చొరబాట్లకు ఒక నమూనా

దురుద్దేశపూర్వక ప్రయోజనాల కోసం చట్టబద్ధమైన పరిపాలనా సాధనాలను ఉపయోగించుకునే పెరుగుతున్న ధోరణికి VENOMOUS#HELPER ఒక ఉదాహరణ. సోషల్ ఇంజనీరింగ్, విశ్వసనీయ సాఫ్ట్‌వేర్ దుర్వినియోగం మరియు అదనపు యాక్సెస్ యంత్రాంగాలను కలపడం ద్వారా, ఈ ప్రచారం నిలకడ, గోప్యత మరియు కార్యాచరణ సౌలభ్యాన్ని సాధిస్తుంది. ఈ విధానం సంస్థాగత వాతావరణాలలో ప్రవర్తనా పర్యవేక్షణ, జీరో-ట్రస్ట్ సూత్రాలు మరియు చట్టబద్ధమైన సాధనాల వినియోగంపై పటిష్టమైన పరిశీలన యొక్క ఆవశ్యకతను నొక్కి చెబుతుంది.