勒索软件运营商滥用 Action1 RMM

像 Action1 RMM 这样的远程监控和管理 (RMM) 工具越来越成为托管服务提供商 (MSP) 及其客户群的一个有吸引力的选择，因为它们允许远程管理客户网络上的端点，包括补丁管理、安全软件安装和故障排除。不幸的是，这些工具的功能也引起了威胁行为者的注意，他们现在滥用它们来破坏公司网络并保持持久性。

威胁行为者危害公司网络

安全公司的最新报告和研究人员的推文揭示了 Action1 RMM 在勒索软件攻击中的滥用情况。使用 Action1，威胁参与者可以执行命令、脚本和二进制文件，以在受感染的机器上投放恶意软件。这些操作需要在平台内创建“策略”或“应用程序”，以便在执行期间在命令行上检测到滥用时给出指示。

为了应对这个问题，Action1 实施了安全升级，例如 AI 过滤，以扫描用户活动中的可疑行为模式，检测潜在的恶意帐户，并提醒其专门的安全团队进行进一步调查。

支持科斯塔斯推文的证据

DFIR 报告志愿者分析师组的成员 Kostas 在推特上发布了关于勒索软件运营商滥用 Action1 RMM 平台的消息，强调了使用该系统增加攻击的潜在风险。为了验证这些说法，需要额外的证据来更清楚地了解情况。

TTP 类似于 BlackBerry 事件响应小组的调查

支持 Kostas 推文的进一步证据来自黑莓事件响应团队对涉及 Monti 勒索软件的案件的调查。在这种情况下，攻击者利用Log4Shell 漏洞入侵客户的 VMware Horizon 虚拟化系统。攻击者加密了用户桌面和服务器，值得注意的是，他们还下载并安装了两个远程监控和维护 (RMM) 代理，包括 Action1。

研究人员认为，攻击者使用 RMM 软件在网络中建立持久性并促进额外的远程访问，使其成为已知的第一个以这种方式利用 Action1 的事件。 Conti 运营商以前采用的这种策略显示了网络犯罪分子利用 Action1 等合法 RMM 软件的多功能性来执行恶意活动的演变和适应。

行动 1 打击恶意使用

Action1 正在积极解决其远程监控和管理 (RMM) 产品被勒索软件运营商滥用的问题。该公司实施了各种安全升级，以打击对其平台的恶意使用，同时仍为其用户群提供高效的远程管理解决方案。

采用安全升级、人工智能过滤

Action1 实施的其中一项安全措施是使用 AI 过滤。该技术扫描用户活动以查找可疑行为模式，并有效检测潜在的恶意帐户。通过利用 AI 功能，Action1 旨在降低威胁参与者利用其平台进行勒索软件攻击的风险。

Monti 勒索软件毒株

Monti 是一种相对较新的勒索软件毒株，专家认为它是Conti 家族的较新变种。这种压力已被观察到，其使用的策略使其前身孔蒂成为网络空间的重大威胁。

Conti 家族的新变种

Monti 继承了许多使 Conti 成为严重威胁的策略，包括滥用远程管理软件发起勒索软件攻击。事实证明，Monti 勒索软件运营商能够适应 Conti 家族采用的成功方法。

滥用远程管理软件

Conti 因利用合法的远程管理软件（例如 AnyDesk）获得对网络的未授权访问并为他们的攻击提供便利而臭名昭著。 Monti 采取了类似的方法，最近发生的事件涉及滥用 Action1 RMM，托管服务提供商使用它在客户网络上进行远程端点管理。

Conti 和 Monti 帮派之间的可能联系

Conti 和 Monti 勒索软件运营商之间的确切联系仍不清楚。然而，他们在战术、技术和程序上的相似之处表明，蒙蒂背后的犯罪分子可能受到孔蒂帮的影响或直接相关。无论联系如何，Monti 将勒索软件毒株与行之有效的策略相结合，对企业及其系统构成了重大威胁。