Фишинг кампанията VENOMOUS#HELPER удари над 80 американски организации чрез RMM инструменти

Фишинг кампания, която се крие на открито

Сложна фишинг кампания, известна като VENOMOUS#HELPER, е компрометирала над 80 организации в Съединените щати, и това, което я прави особено тревожна, не са инструментите, които нападателите са изградили, а тези, които са заимствали. Кампанията експлоатира легитимен софтуер за дистанционно наблюдение и управление (RMM) — конкретно SimpleHelp и ScreenConnect — за да установи постоянен отдалечен достъп в мрежите на жертвите.

RMM инструментите се използват широко от ИТ отдели и доставчици на управлявани услуги за дистанционна диагностика, актуализиране и управление на крайни точки. Тъй като се ползват с доверие от корпоративните филтри за сигурност, те представляват атрактивно средство за нападатели, които искат да се слеят с нормалния мрежов трафик. VENOMOUS#HELPER се възползва напълно от това доверие.

Веригата на атаката започва с фишинг имейли, които насочват жертвите към компрометирани бизнес уебсайтове. Използването на реални, до скоро легитимни домейни помага на кампанията да заобиколи филтрите за сигурност на имейли и проверките за репутация на уебсайтове, които биха маркирали неизвестни или наскоро регистрирани сайтове. Веднага щом жертвата взаимодейства със злонамереното съдържание, RMM софтуерът се инсталира безшумно, давайки на нападателите постоянна опорна точка, която може да оцелее след рестартирания, сканирания на крайни точки и дори при разгръщането на някои инструменти за сигурност.

Как RMM софтуерът се превръща в уязвимост

Основният проблем, разкрит от VENOMOUS#HELPER, не е, че SimpleHelp или ScreenConnect са присъщо несигурни. Това са утвърдени продукти, използвани всеки ден от хиляди легитимни ИТ екипи. Проблемът е, че нападателите са открили начин да превърнат в оръжие именно функциите, които правят тези инструменти полезни: лека инсталация, постоянна свързаност и способност за преместване из мрежата.

Веднъж инсталирани, RMM агентите обикновено осъществяват изходяща комуникация през стандартни уеб портове, които много защитни стени позволяват по подразбиране. Това означава, че нападател, контролиращ нелегитимна RMM сесия, може да се придвижва странично към съседни системи, да ексфилтрира данни или да разгърне допълнителен зловреден софтуер — всичко това изглеждайки като рутинна ИТ дейност в таблата за наблюдение на мрежата.

Използването на компрометирани уебсайтове на трети страни като механизъм за доставка добавя още един слой трудности за защитниците. Традиционните индикатори за компрометиране — като маркиране на неизвестни домейни или неподписани изпълними файлове — са по-малко ефективни, когато полезният товар пристига от сайт, който инструментите за сигурност вече са класифицирали като безопасен.

Какво означава това за вас

За отделните хора, особено тези, работещи дистанционно или в хибридна среда, тази кампания е напомняне, че софтуерът, който вашият работодател използва за управление на работното ви устройство, носи реален риск, ако не се управлява правилно. RMM инструментите обикновено работят с повишени привилегии. Ако нападател получи контрол върху този канал, той има широк достъп до вашата машина и потенциално до файловете и идентификационните данни в нея.

Това не е причина за паника, но е причина да задавате въпроси. Служителите имат законен интерес да знаят какъв софтуер за отдалечен достъп е инсталиран на устройствата им, кой има възможността да инициира сесия и дали тези сесии се регистрират и могат да бъдат одитирани. Отговорните работодатели трябва да могат ясно да отговорят и на трите въпроса.

За организациите VENOMOUS#HELPER илюстрира защо принципите на нулево доверие имат значение на практика. Архитектурата с нулево доверие не приема, че трафикът, произхождащ от доверен инструмент или известен IP адрес, е автоматично безопасен. Всяка сесия, всяка заявка за достъп и всяка странична връзка се проверява. В комбинация с многофакторно удостоверяване и мрежова сегментация, този подход значително ограничава какво може да направи нападателят, дори след като е получил първоначална опорна точка.

Използването на VPN в корпоративна мрежа също играе роля тук. Шифрованите тунели между отдалечените служители и вътрешните ресурси намаляват излагането на чувствителен трафик на прихващане и създават последователна точка за удостоверяване, която нападателите, използващи RMM, биха трябвало да преодолеят.

Практически изводи

Независимо дали сте отделен служител или отговаряте за сигурността на организацията, има конкретни стъпки, които си струва да предприемете в отговор на това, което VENOMOUS#HELPER разкрива.

За отделните хора:

• Попитайте вашия ИТ отдел какъв RMM софтуер е инсталиран на работните ви устройства и поискайте писмена политика за това как се инициират и регистрират отдалечените сесии.
• Бъдете внимателни с имейли, които ви насочват към външни уебсайтове, дори такива, които изглеждат познати или професионални.
• Докладвайте всичко, което инсталира софтуер или изисква повишени разрешения без ясна предварителна заявка от ваша страна.

За организациите:

• Одитирайте всички разгърнати RMM инструменти и се уверете, че на крайните точки присъстват само оторизирани версии с известни конфигурации.
• Ограничете RMM софтуера да комуникира с каквито и да е сървъри извън одобрената от вас инфраструктура на доставчика.
• Внедрете списъци с разрешени приложения, за да предотвратите изпълнението на неоторизирани RMM агенти.
• Третирайте симулациите на фишинг като непрекъсната програма, а не като еднократно упражнение — особено за служители, работещи с външни доставчици.

VENOMOUS#HELPER е полезен казус за това как нападателите се адаптират към съвременната ИТ среда. Вместо да се борят директно с инструментите за сигурност, те намират начини да използват доверен софтуер като прикритие. Най-доброто средство за защита е многопластово: скептични потребители, строги мрежови политики и архитектури за сигурност, които приемат, че компрометирането винаги е възможно.