Phishingová kampaň VENOMOUS#HELPER zasáhla přes 80 amerických organizací prostřednictvím nástrojů RMM

Phishingová kampaň, která se skrývá na očích

Sofistikovaná phishingová kampaň známá jako VENOMOUS#HELPER kompromitovala více než 80 organizací ve Spojených státech, a co je na ní zvláště znepokojující, nejsou nástroje, které útočníci sami vytvořili, ale ty, které si půjčili. Kampaň zneužívá legitimní software pro vzdálené monitorování a správu (RMM), konkrétně SimpleHelp a ScreenConnect, k vytvoření trvalého vzdáleného přístupu do sítí obětí.

Nástroje RMM jsou hojně využívány IT odděleními a poskytovateli spravovaných služeb ke vzdálené diagnostice, aktualizaci a správě koncových bodů. Protože jim podnikové bezpečnostní filtry důvěřují, představují pro útočníky atraktivní prostředek, jak splynout s běžným síťovým provozem. VENOMOUS#HELPER této důvěry plně využívá.

Řetězec útoku začíná phishingovými e-maily, které navádějí oběti na kompromitované firemní weby. Využití skutečných, dříve legitimních domén pomáhá kampani obejít bezpečnostní filtry e-mailů a kontroly reputace webů, které by označily neznámé nebo nově registrované stránky. Jakmile oběť vstoupí do interakce se škodlivým obsahem, je tiše nainstalován software RMM, čímž útočníci získají trvalou oporu, která přežije restarty, skenování koncových bodů a dokonce i nasazení některých bezpečnostních nástrojů.

Jak se software RMM stává bezpečnostní zátěží

Základní problém, který VENOMOUS#HELPER odhaluje, nespočívá v tom, že by SimpleHelp nebo ScreenConnect byly ze své podstaty nezabezpečené. Jedná se o renomované produkty, které každodenně využívají tisíce legitimních IT týmů. Problém tkví v tom, že útočníci přišli na způsob, jak zneužít právě ty funkce, které tyto nástroje činí užitečnými: nenáročnou instalaci, trvalé připojení a schopnost pohybovat se napříč sítí.

Po instalaci agenti RMM typicky komunikují odchozím provozem přes standardní webové porty, které mnoho firewallů ve výchozím nastavení povoluje. To znamená, že útočník ovládající neoprávněnou relaci RMM může provádět laterální pohyb na sousední systémy, exfiltrovat data nebo nasazovat další malware – to vše přitom na dashboardech síťového monitorování vypadá jako běžná IT činnost.

Použití kompromitovaných webů třetích stran jako distribučního mechanismu přidává obráncům další vrstvu obtíží. Tradiční indikátory kompromitace, jako je označování neznámých domén nebo nepodepsaných spustitelných souborů, jsou méně účinné, pokud přichází payload ze stránek, které bezpečnostní nástroje již klasifikovaly jako bezpečné.

Co to znamená pro vás

Pro jednotlivce, zejména pro ty, kteří pracují na dálku nebo v hybridních prostředích, je tato kampaň připomínkou, že software, který váš zaměstnavatel používá ke správě vašeho pracovního zařízení, nese skutečné riziko, pokud není řádně řízen. Nástroje RMM obvykle běží s rozšířenými oprávněními. Pokud útočník získá kontrolu nad tímto kanálem, má široký přístup k vašemu zařízení a potenciálně i k souborům a přihlašovacím údajům, které na něm jsou.

Není to důvod k panice, ale je to důvod klást otázky. Zaměstnanci mají legitimní zájem vědět, jaký software pro vzdálený přístup je nainstalován na jejich zařízeních, kdo má možnost zahájit relaci a zda jsou tyto relace zaznamenávány a auditovatelné. Odpovědní zaměstnavatelé by měli být schopni jasně odpovědět na všechny tři otázky.

Pro organizace VENOMOUS#HELPER ilustruje, proč jsou principy nulové důvěry (zero-trust) v praxi důležité. Architektura nulové důvěry nepředpokládá, že provoz pocházející z důvěryhodného nástroje nebo ze známé IP adresy je automaticky bezpečný. Každá relace, každý požadavek na přístup a každé laterální připojení jsou ověřovány. V kombinaci s vícefaktorovým ověřováním a segmentací sítě tento přístup výrazně omezuje, co může útočník udělat, i poté, co získal počáteční oporu.

Využití VPN v rámci podnikové sítě zde také hraje svou roli. Šifrované tunely mezi vzdálenými pracovníky a interními zdroji snižují vystavení citlivého provozu odposlechu a vytvářejí konzistentní ověřovací bod, který by útočníci využívající RMM museli překonat.

Konkrétní doporučení

Ať už jste individuální zaměstnanec nebo zodpovídáte za bezpečnost organizace, existují konkrétní kroky, které stojí za to podniknout v reakci na to, co VENOMOUS#HELPER odhaluje.

Pro jednotlivce:

• Zeptejte se svého IT oddělení, jaký software RMM je nainstalován na vašich pracovních zařízeních, a vyžádejte si písemnou politiku ohledně toho, jak jsou vzdálené relace zahajovány a zaznamenávány.
• Buďte opatrní s e-maily, které vás přesměrovávají na externí weby, i na ty, které vypadají povědomě nebo profesionálně.
• Hlaste cokoli, co instaluje software nebo požaduje rozšířená oprávnění bez jasné předchozí žádosti z vaší strany.

Pro organizace:

• Proveďte audit všech nasazených nástrojů RMM a ujistěte se, že na koncových bodech jsou přítomny pouze autorizované verze se známými konfiguracemi.
• Zabraňte softwaru RMM v komunikaci s jakýmkoli serverem mimo schválenou infrastrukturu vašeho dodavatele.
• Implementujte allowlisting aplikací, abyste zabránili spuštění neautorizovaných agentů RMM.
• Přistupujte k phishingovým simulacím jako k průběžnému programu, nikoli jako k jednorázovému cvičení, zejména pro zaměstnance, kteří pracují s externími dodavateli.

VENOMOUS#HELPER je užitečnou případovou studií o tom, jak se útočníci přizpůsobují modernímu IT prostředí. Místo přímého boje s bezpečnostními nástroji hledají způsoby, jak využít důvěryhodný software jako krytí. Nejlepší obrana je vícevrstvá: skeptičtí uživatelé, přísné síťové politiky a bezpečnostní architektury, které předpokládají, že kompromitace je vždy možná.