Фішингова кампанія VENOMOUS#HELPER
Складна фішингова кампанія, ідентифікована як VENOMOUS#HELPER, активна щонайменше з квітня 2025 року, спрямована на кілька векторів атак через зловживання легітимними інструментами віддаленого моніторингу та управління (RMM). Постраждало понад 80 організацій, переважно у Сполучених Штатах. Активність перетинається з раніше задокументованими кластерами, відомими як STAC6405. Хоча атрибуція залишається невизначеною, операційні моделі тісно пов'язані з фінансово орієнтованими брокерами початкового доступу (IAB) або групами-попередниками програм-вимагачів, які прагнуть створити плацдарми для подальшої експлуатації.
Зміст
Життя за рахунок перевірених інструментів: зловживання легітимним програмним забезпеченням RMM
Замість розгортання відверто шкідливого програмного забезпечення, зловмисники покладаються на спеціалізовані версії легітимних інструментів, таких як SimpleHelp та ConnectWise ScreenConnect. Оскільки ці програми зазвичай використовуються в корпоративних середовищах, їхня присутність часто обходить традиційні засоби контролю безпеки та не викликає підозр.
Одночасне розгортання обох інструментів є навмисною тактикою. Встановлюючи подвійні канали віддаленого доступу, зловмисники забезпечують операційну стійкість. Якщо одне з'єднання виявлено та нейтралізовано, другий канал залишається активним, що дозволяє продовжувати несанкціонований доступ без перерв.
Точка входу фішингу: соціальна інженерія під надійним маскуванням
Ланцюг атаки починається з ретельно розробленого фішингового електронного листа, який видає себе за Адміністрацію соціального забезпечення США (SSA). Повідомлення закликає одержувачів підтвердити свою адресу електронної пошти та завантажити нібито виписку SSA через вбудоване посилання.
Примітно, що посилання перенаправляє жертв на легітимний, але скомпрометований веб-сайт мексиканської компанії, що демонструє навмисну спробу обійти спам-фільтри та захист на основі репутації. Звідти жертв перенаправляють на другий домен, контрольований зловмисником, на якому розміщено шкідливе корисне навантаження, замасковане під легітимний документ.
Доставка корисного навантаження та збереження: розробка довгострокового доступу
Після завантаження корисне навантаження, упаковане як виконуваний файл Windows, ініціює встановлення інструменту SimpleHelp RMM. Вважається, що зловмисники скомпрометували обліковий запис cPanel на хостинг-сервері, щоб розмістити шкідливий файл.
Після виконання шкідливе програмне забезпечення встановлює стійкість та стійкість за допомогою кількох механізмів:
- Інсталяція як служби Windows з можливостями збереження в безпечному режимі
- Розгортання самовідновлювального сторожового таймера, який автоматично перезапускає службу у разі її завершення.
- Регулярне перерахування встановлених продуктів безпеки через простір імен WMI root\SecurityCenter2 кожні 67 секунд
Ці методи гарантують, що шкідлива присутність залишається активною, адаптивною та важкою для викорінення.
Ескалація привілеїв та повний контроль над системою
Щоб досягти повного інтерактивного контролю над скомпрометованою системою, клієнт SimpleHelp підвищує привілеї, отримуючи SeDebugPrivilege через AdjustTokenPrivileges. Крім того, для отримання доступу на рівні СИСТЕМИ використовується легітимний компонент програмного забезпечення, «elev_win.exe».
Цей підвищений рівень привілеїв дозволяє зловмисникам:
- Моніторинг та запис активності на екрані
- Введення натискань клавіш у режимі реального часу
- Доступ до конфіденційних ресурсів у контексті користувача
Такі можливості ефективно надають повний контроль над середовищем жертви, не викликаючи звичайних сповіщень безпеки.
Стратегія резервного доступу: ScreenConnect як резервний канал
Після встановлення основного каналу доступу зловмисники розгортають ConnectWise ScreenConnect як вторинний механізм віддаленого доступу. Це забезпечує збереження, навіть якщо початкове з’єднання SimpleHelp ідентифіковано та заблоковано.
Використання кількох легітимних інструментів підкреслює багаторівневу стратегію доступу, розроблену для надійності та прихованості, що ускладнює виявлення та реагування на інциденти.
Операційний вплив: тихий контроль під радарами
Розгорнута версія SimpleHelp (5.0.1) надає надійний набір функцій віддаленого адміністрування. Після вбудовування в середовище зловмисники отримують можливість вільно та непомітно діяти. Скомпрометована організація залишається вразливою до постійної експлуатації, оскільки зловмисники можуть повторно увійти в систему за бажанням.
Середовище фактично стає контрольованим активом, де зловмисники можуть непомітно виконувати команди, передавати файли в обох напрямках та переміщатися по мережі. Оскільки вся активність, здається, походить від легітимно підписаного програмного забезпечення, виготовленого авторитетним британським постачальником, традиційні антивірусні засоби та засоби захисту на основі сигнатур часто не виявляють вторгнення.
Висновок: План сучасних вторгнень
VENOMOUS#HELPER є прикладом зростаючої тенденції використання легітимних адміністративних інструментів для шкідливих цілей. Поєднуючи соціальну інженерію, зловживання надійним програмним забезпеченням та надлишкові механізми доступу, кампанія досягає стійкості, прихованості та операційної гнучкості. Такий підхід підкреслює нагальну потребу в поведінковому моніторингу, принципах нульової довіри та посиленому контролі за використанням легітимних інструментів у корпоративному середовищі.
