勒索軟件運營商濫用 Action1 RMM

像 Action1 RMM 這樣的遠程監控和管理 (RMM) 工具越來越成為託管服務提供商 (MSP) 及其客戶群的一個有吸引力的選擇，因為它們允許遠程管理客戶網絡上的端點，包括補丁管理、安全軟件安裝和故障排除。不幸的是，這些工具的功能也引起了威脅行為者的注意，他們現在濫用它們來破壞公司網絡並保持持久性。

威脅行為者危害公司網絡

安全公司的最新報告和研究人員的推文揭示了 Action1 RMM 在勒索軟件攻擊中的濫用情況。使用 Action1，威脅參與者可以執行命令、腳本和二進製文件，以在受感染的機器上投放惡意軟件。這些操作需要在平台內創建“策略”或“應用程序”，以便在執行期間在命令行上檢測到濫用時給出指示。

為了應對這個問題，Action1 實施了安全升級，例如 AI 過濾，以掃描用戶活動中的可疑行為模式，檢測潛在的惡意帳戶，並提醒其專門的安全團隊進行進一步調查。

支持科斯塔斯推文的證據

DFIR 報告志願者分析師組的成員 Kostas 在推特上發布了關於勒索軟件運營商濫用 Action1 RMM 平台的消息，強調了使用該系統增加攻擊的潛在風險。為了驗證這些說法，需要額外的證據來更清楚地了解情況。

TTP 類似於 BlackBerry 事件響應小組的調查

支持 Kostas 推文的進一步證據來自黑莓事件響應團隊對涉及 Monti 勒索軟件的案件的調查。在這種情況下，攻擊者利用Log4Shell 漏洞入侵客戶的 VMware Horizon 虛擬化系統。攻擊者加密了用戶桌面和服務器，值得注意的是，他們還下載並安裝了兩個遠程監控和維護 (RMM) 代理，包括 Action1。

研究人員認為，攻擊者使用 RMM 軟件在網絡中建立持久性並促進額外的遠程訪問，使其成為已知的第一個以這種方式利用 Action1 的事件。 Conti 運營商以前採用的這種策略顯示了網絡犯罪分子利用 Action1 等合法 RMM 軟件的多功能性來執行惡意活動的演變和適應。

行動 1 打擊惡意使用

Action1 正在積極解決其遠程監控和管理 (RMM) 產品被勒索軟件運營商濫用的問題。該公司實施了各種安全升級，以打擊對其平台的惡意使用，同時仍為其用戶群提供高效的遠程管理解決方案。

採用安全升級、人工智能過濾

Action1 實施的其中一項安全措施是使用 AI 過濾。該技術掃描用戶活動以查找可疑行為模式，並有效檢測潛在的惡意帳戶。通過利用 AI 功能，Action1 旨在降低威脅參與者利用其平台進行勒索軟件攻擊的風險。

Monti 勒索軟件毒株

Monti 是一種相對較新的勒索軟件毒株，專家認為它是Conti 家族的較新變種。這種壓力已被觀察到，其使用的策略使其前身孔蒂成為網絡空間的重大威脅。

Conti 家族的新變種

Monti 繼承了許多使 Conti 成為嚴重威脅的策略，包括濫用遠程管理軟件發起勒索軟件攻擊。事實證明， Monti 勒索軟件運營商能夠適應 Conti 家族採用的成功方法。

濫用遠程管理軟件

Conti 因利用合法的遠程管理軟件（例如 AnyDesk）獲得對網絡的未授權訪問並為他們的攻擊提供便利而臭名昭著。 Monti 採取了類似的方法，最近發生的事件涉及濫用 Action1 RMM，託管服務提供商使用它在客戶網絡上進行遠程端點管理。

Conti 和 Monti 幫派之間的可能聯繫

Conti 和 Monti 勒索軟件運營商之間的確切聯繫仍不清楚。然而，他們在戰術、技術和程序上的相似之處表明，蒙蒂背後的犯罪分子可能受到孔蒂幫的影響或直接相關。無論聯繫如何，Monti 將勒索軟件毒株與行之有效的策略相結合，對企業及其係統構成了重大威脅。