Cybersikkerhed

VENOMOUS#HELPER Phishing-kampagne Rammer 80+ Amerikanske Organisationer via RMM-værktøjer

5. maj 20264 min læsning

By Marcus Weber — CISSP-certificeret, 12 år inden for cybersikkerhedsjournalistik

VENOMOUS#HELPER Phishing-kampagne Rammer 80+ Amerikanske Organisationer via RMM-værktøjer

En Phishing-kampagne der Gemmer sig i Åben Sky

En sofistikeret phishing-kampagne kendt som VENOMOUS#HELPER har kompromitteret mere end 80 organisationer på tværs af USA, og det der gør den særligt alarmerende er ikke de værktøjer angriberne selv byggede, men dem de lånte. Kampagnen udnytter legitim Remote Monitoring and Management (RMM)-software, nærmere bestemt SimpleHelp og ScreenConnect, til at etablere vedvarende fjernadgang inden i ofrenes netværk.

RMM-værktøjer anvendes i vid udstrækning af IT-afdelinger og managed service providers til fjernstyret diagnosticering, opdatering og administration af endpoints. Fordi de er godkendt af virksomheders sikkerhedsfiltre, udgør de et attraktivt redskab for angribere, der ønsker at blende ind med normal netværkstrafik. VENOMOUS#HELPER udnytter denne tillid fuldt ud.

Angrebskæden begynder med phishing-e-mails, der leder ofre til kompromitterede erhvervswebsteder. Brugen af ægte, tidligere legitime domæner hjælper kampagnen med at omgå e-mailsikkerhedsfiltre og webrenommécheck, der ellers ville markere ukendte eller nyligt registrerede sider. Når et offer interagerer med det ondsindede indhold, installeres RMM-software lydløst, hvilket giver angriberne et vedvarende fodfæste, der kan overleve genstart, endpoint-scanninger og endda visse deployeringer af sikkerhedsværktøjer.

Hvordan RMM-software Bliver en Sårbarhed

Det centrale problem, som VENOMOUS#HELPER blotlægger, er ikke at SimpleHelp eller ScreenConnect i sig selv er usikre. Det er velrenommerede produkter, der dagligt bruges af tusindvis af legitime IT-teams. Problemet er, at angribere har fundet ud af, hvordan de kan bevæbne de funktioner, der netop gør disse værktøjer nyttige: nem installation, vedvarende forbindelse og muligheden for at bevæge sig rundt i et netværk.

Når de er installeret, kommunikerer RMM-agenter typisk udgående over standard webporte, som mange firewalls tillader som standard. Det betyder, at en angriber, der styrer en uautoriseret RMM-session, kan bevæge sig lateralt til tilstødende systemer, eksfiltrere data eller installere yderligere malware – alt imens det fremstår som rutinemæssig IT-aktivitet på netværksovervågningsdashboards.

Brugen af kompromitterede tredjepartswebsteder som leveringsmekanisme tilføjer endnu et lag af vanskeligheder for forsvarerne. Traditionelle kompromitteringsindikatorer, som at markere ukendte domæner eller usignerede eksekverbare filer, er mindre effektive, når indholdet ankommer fra et websted, som sikkerhedsværktøjerne allerede har klassificeret som ufarligt.

Hvad Det Betyder for Dig

For enkeltpersoner – særligt dem der arbejder på distancen eller i hybridmiljøer – er denne kampagne en påmindelse om, at den software din arbejdsgiver bruger til at administrere din arbejdsenhed indebærer en reel risiko, hvis den ikke styres korrekt. RMM-værktøjer kører typisk med forhøjede rettigheder. Hvis en angriber får kontrol over den kanal, har de bred adgang til din maskine og potentielt de filer og legitimationsoplysninger, der befinder sig på den.

Det er ikke en grund til panik, men det er en grund til at stille spørgsmål. Medarbejdere har en legitim interesse i at vide, hvilken fjernadgangssoftware der er installeret på deres enheder, hvem der har mulighed for at indlede en session, og om disse sessioner logges og kan revideres. Ansvarlige arbejdsgivere bør klart kunne besvare alle tre spørgsmål.

For organisationer illustrerer VENOMOUS#HELPER, hvorfor zero-trust-principper er vigtige i praksis. En zero-trust-arkitektur antager ikke, at trafik, der stammer fra et betroet værktøj eller en kendt IP-adresse, automatisk er sikker. Enhver session, enhver adgangsanmodning og enhver lateral forbindelse verificeres. Kombineret med multifaktorgodkendelse og netværkssegmentering begrænser denne tilgang betydeligt, hvad en angriber kan gøre, selv efter de har opnået et indledende fodfæste.

VPN-brug inden for et virksomhedsnetværk spiller også en rolle her. Krypterede tunneler mellem fjernmedarbejdere og interne ressourcer reducerer eksponeringen af følsom trafik for aflytning, og de skaber et konsekvent godkendelsestjekpunkt, som RMM-baserede angribere ville være nødt til at overvinde.

Konkrete Handlingstiltag

Uanset om du er en individuel medarbejder eller ansvarlig for organisationens sikkerhed, er der konkrete skridt, det er værd at tage som reaktion på det, VENOMOUS#HELPER afslører.

For enkeltpersoner:

Spørg din IT-afdeling, hvilken RMM-software der er installeret på dine arbejdsenheder, og anmod om en skriftlig politik for, hvordan fjernsessioner indledes og logges.
Vær forsigtig med e-mails, der leder dig til eksterne websteder, selv dem der virker bekendte eller professionelle.
Rapportér alt, der installerer software eller anmoder om forhøjede rettigheder uden en klar forudgående anmodning fra dig.

For organisationer:

Gennemfør en revision af alle deployerede RMM-værktøjer, og sørg for, at kun autoriserede versioner med kendte konfigurationer er til stede på endpoints.
Begræns RMM-softwarens kommunikation til kun at omfatte servere inden for din godkendte leverandørinfrastruktur.
Implementér applikationswhitelisting for at forhindre uautoriserede RMM-agenter i at køre.
Behandl phishing-simuleringer som et løbende program og ikke en engangsøvelse – særligt for medarbejdere, der arbejder med eksterne leverandører.

VENOMOUS#HELPER er et nyttigt casestudie i, hvordan angribere tilpasser sig det moderne IT-miljø. I stedet for at bekæmpe sikkerhedsværktøjer direkte finder de måder at bruge betroet software som dækning. Det bedste forsvar er et lagdelt et: skeptiske brugere, strenge netværkspolitikker og sikkerhedsarkitekturer, der antager, at kompromittering altid er mulig.

// FAQ

Hvad er VENOMOUS#HELPER-kampagnen?

VENOMOUS#HELPER er en sofistikeret phishing-kampagne, der har kompromitteret mere end 80 organisationer på tværs af USA. Den udnytter legitim Remote Monitoring and Management-software, nærmere bestemt SimpleHelp og ScreenConnect, til at etablere vedvarende fjernadgang inden i ofrenes netværk.

Hvordan begynder angrebet?

Angrebskæden starter med phishing-e-mails, der leder ofre til kompromitterede erhvervswebsteder ved hjælp af ægte, tidligere legitime domæner. Når et offer interagerer med det ondsindede indhold, installeres RMM-software lydløst på deres enhed.

Hvorfor er RMM-værktøjer særligt nyttige for angribere i denne kampagne?

RMM-værktøjer er godkendt af virksomheders sikkerhedsfiltre og kommunikerer udgående over standard webporte, som mange firewalls tillader som standard, hvilket giver angriberne mulighed for at blende ind med normal netværkstrafik. Deres funktioner – herunder nem installation, vedvarende forbindelse og muligheden for netværkspivot – gør dem effektive til ondsindede formål.

Hvorfor er det svært for forsvarere at opdage denne kampagne?

Kampagnen anvender kompromitterede tredjepartswebsteder, som sikkerhedsværktøjer allerede har klassificeret som ufarlige, hvilket gør traditionelle kompromitteringsindikatorer mindre effektive. Ondsindet aktivitet fremstår desuden som rutinemæssig IT-aktivitet på netværksovervågningsdashboards.

Hvilken risiko udgør denne kampagne for individuelle medarbejdere?

RMM-værktøjer kører typisk med forhøjede rettigheder, hvilket betyder, at en angriber, der får kontrol over den kanal, har bred adgang til ofrets maskine, herunder filer og legitimationsoplysninger. Medarbejdere, der arbejder på distancen eller i hybridmiljøer, fremhæves specifikt som særligt udsatte.

En Phishing-kampagne der Gemmer sig i Åben Sky

Hvordan RMM-software Bliver en Sårbarhed

Hvad Det Betyder for Dig

Konkrete Handlingstiltag

// FAQ

// Relateret