Kampanya sa Phishing na VENOMOUS#HELPER

Isang sopistikadong kampanya sa phishing, na kinilala bilang VENOMOUS#HELPER, ang aktibo simula pa noong Abril 2025, na tinatarget ang maraming uri ng pag-atake sa pamamagitan ng pang-aabuso sa mga lehitimong tool ng Remote Monitoring and Management (RMM). Mahigit 80 organisasyon, karamihan ay nasa Estados Unidos, ang naapektuhan. Ang aktibidad ay sumasabay sa mga dating dokumentadong kumpol na kilala bilang STAC6405. Bagama't nananatiling hindi tiyak ang pagpapatungkol, ang mga pattern ng operasyon ay lubos na naaayon sa mga pinansyal na hinihimok ng mga Initial Access Broker (IAB) o mga grupong nauna sa ransomware na naghahangad na magtatag ng mga pundasyon para sa pagsasamantala sa hinaharap.

Pamumuhay Gamit ang mga Pinagkakatiwalaang Kagamitan: Ang Pag-abuso sa Lehitimong RMM Software

Sa halip na mag-deploy ng hayagang malisyosong software, umaasa ang mga umaatake sa mga customized na bersyon ng mga lehitimong tool tulad ng SimpleHelp at ConnectWise ScreenConnect. Dahil ang mga application na ito ay karaniwang ginagamit sa mga enterprise environment, ang kanilang presensya ay kadalasang lumalampas sa mga tradisyonal na kontrol sa seguridad at naiiwasan ang pagtataas ng hinala.

Ang sabay-sabay na pag-deploy ng parehong tool ay isang sinadyang taktika. Sa pamamagitan ng pagtatatag ng dalawahang remote access channels, tinitiyak ng mga umaatake ang operational resilience. Kung ang isang koneksyon ay matukoy at ma-neutralize, ang pangalawang channel ay mananatiling aktibo, na nagpapahintulot sa patuloy na hindi awtorisadong pag-access nang walang pagkaantala.

Punto ng Pagpasok sa Phishing: Social Engineering na may Mapagkakatiwalaang Pagbabalatkayo

Ang kadena ng pag-atake ay nagsisimula sa isang maingat na ginawang phishing email na nagpapanggap na US Social Security Administration (SSA). Hinihimok ng mensahe ang mga tatanggap na i-verify ang kanilang email address at mag-download ng umano'y pahayag ng SSA sa pamamagitan ng isang naka-embed na link.

Kapansin-pansin, ang link ay nagdidirekta sa mga biktima sa isang lehitimo ngunit nakompromisong website ng negosyo sa Mexico, na nagpapakita ng isang sinasadyang pagsisikap na maiwasan ang mga spam filter at mga depensang nakabatay sa reputasyon. Mula roon, ang mga biktima ay ire-redirect sa isang pangalawang domain na kontrolado ng attacker, na nagho-host ng malisyosong payload na nagbabalatkayo bilang isang lehitimong dokumento.

Paghahatid at Pagtitiyaga ng Payload: Pag-iinhinyero ng Pangmatagalang Pag-access

Kapag na-download na, ang payload, na naka-package bilang isang Windows executable, ay magsisimula ng pag-install ng SimpleHelp RMM tool. Pinaniniwalaang nakompromiso ng mga attacker ang isang cPanel account sa hosting server upang i-stage ang malisyosong file.

Pagkatapos ng pagpapatupad, ang malware ay nagtatatag ng pagtitiyaga at katatagan sa pamamagitan ng ilang mekanismo:

• Pag-install bilang isang serbisyo ng Windows na may mga kakayahan sa pagtitiyaga ng Safe Mode
• Pag-deploy ng isang self-healing watchdog na awtomatikong magre-restart ng serbisyo kung sakaling wakasan
• Regular na pag-enumerasyon ng mga naka-install na produkto ng seguridad sa pamamagitan ng root\SecurityCenter2 WMI namespace kada 67 segundo

• Patuloy na pagsubaybay sa aktibidad ng gumagamit sa bawat 23 segundong pagitan

Tinitiyak ng mga pamamaraang ito na ang malisyosong presensya ay nananatiling aktibo, madaling umangkop, at mahirap lipulin.

Pagtaas ng Pribilehiyo at Kontrol sa Buong Sistema

Para makamit ang ganap na interactive na kontrol sa nakompromisong sistema, pinapataas ng SimpleHelp client ang mga pribilehiyo sa pamamagitan ng pagkuha ng SeDebugPrivilege sa pamamagitan ng AdjustTokenPrivileges. Bukod pa rito, isang lehitimong bahagi ng software, ang 'elev_win.exe', ang ginagamit upang makakuha ng access sa antas ng SYSTEM.

Ang mataas na antas ng pribilehiyong ito ay nagbibigay-daan sa mga umaatake na:

• Subaybayan at kunan ng larawan ang aktibidad ng screen
• Maglagay ng mga keystroke nang real time
• I-access ang mga sensitibong mapagkukunan sa loob ng konteksto ng gumagamit

Ang mga ganitong kakayahan ay epektibong nagbibigay ng kumpletong kontrol sa kapaligiran ng biktima nang hindi nagti-trigger ng mga kumbensyonal na alerto sa seguridad.

Istratehiya sa Kalabisan ng Pag-access: ScreenConnect bilang isang Fallback Channel

Kasunod ng pagtatatag ng pangunahing channel ng pag-access, ide-deploy ng mga attacker ang ConnectWise ScreenConnect bilang pangalawang mekanismo ng remote access. Tinitiyak nito ang persistence kahit na matukoy at ma-block ang unang koneksyon ng SimpleHelp.

Ang paggamit ng maraming lehitimong kagamitan ay nagtatampok ng isang layered access strategy na idinisenyo para sa tibay at stealth, na nagpapakomplikado sa mga pagsisikap sa pag-detect at pagtugon sa insidente.

Epekto sa Operasyon: Tahimik na Kontrol sa Ilalim ng Radar

Ang naka-deploy na bersyon ng SimpleHelp (5.0.1) ay nagbibigay ng isang mahusay na hanay ng mga tampok sa malayuang pangangasiwa. Kapag na-embed na sa loob ng kapaligiran, ang mga umaatake ay magkakaroon ng kakayahang gumana nang malaya at maingat. Ang nakompromisong organisasyon ay naiiwan na nakalantad sa patuloy na pagsasamantala, dahil ang mga umaatake ay maaaring muling pumasok sa sistema anumang oras na naisin.

Ang kapaligiran ay epektibong nagiging isang kontroladong asset, kung saan ang mga kalaban ay maaaring magsagawa ng mga utos nang tahimik, maglipat ng mga file sa magkabilang direksyon, at gumalaw nang pahilig sa network. Dahil ang lahat ng aktibidad ay tila nagmumula sa lehitimong nilagdaang software na ginawa ng isang kagalang-galang na vendor sa UK, ang mga tradisyunal na antivirus at mga depensang nakabatay sa lagda ay kadalasang nabibigong matukoy ang panghihimasok.

Konklusyon: Isang Plano para sa mga Modernong Panghihimasok

Ang VENOMOUS#HELPER ay nagpapakita ng lumalaking trend ng paggamit ng mga lehitimong administratibong tool para sa mga malisyosong layunin. Sa pamamagitan ng pagsasama-sama ng social engineering, pinagkakatiwalaang pang-aabuso sa software, at mga mekanismo ng paulit-ulit na pag-access, nakakamit ng kampanya ang persistence, stealth, at operational flexibility. Binibigyang-diin ng pamamaraang ito ang agarang pangangailangan para sa behavioral monitoring, mga prinsipyo ng zero-trust, at pinahusay na pagsusuri sa lehitimong paggamit ng tool sa loob ng mga kapaligiran ng negosyo.