Eine Phishing-Kampagne, die sich im Verborgenen versteckt

Eine ausgeklügelte Phishing-Kampagne namens VENOMOUS#HELPER hat mehr als 80 Organisationen in den Vereinigten Staaten kompromittiert – und was sie besonders alarmierend macht, sind nicht die Tools, die die Angreifer entwickelt haben, sondern die, die sie sich geliehen haben. Die Kampagne missbraucht legitime Remote Monitoring and Management (RMM)-Software, insbesondere SimpleHelp und ScreenConnect, um dauerhaften Fernzugriff in die Netzwerke der Opfer zu etablieren.

RMM-Tools werden von IT-Abteilungen und Managed-Service-Providern häufig eingesetzt, um Endpunkte aus der Ferne zu diagnostizieren, zu aktualisieren und zu verwalten. Da sie von den Sicherheitsfiltern von Unternehmen als vertrauenswürdig eingestuft werden, stellen sie ein attraktives Mittel für Angreifer dar, die sich im normalen Netzwerkverkehr tarnen wollen. VENOMOUS#HELPER nutzt dieses Vertrauen voll aus.

Die Angriffskette beginnt mit Phishing-E-Mails, die die Opfer auf kompromittierte Unternehmenswebsites weiterleiten. Die Verwendung echter, vormals legitimer Domains hilft der Kampagne, E-Mail-Sicherheitsfilter und Web-Reputationsprüfungen zu umgehen, die unbekannte oder neu registrierte Seiten markieren würden. Sobald ein Opfer mit dem schädlichen Inhalt interagiert, wird RMM-Software still installiert, was Angreifern einen dauerhaften Zugang verschafft, der Neustarts, Endpoint-Scans und sogar den Einsatz einiger Sicherheitstools überstehen kann.

Wie RMM-Software zur Sicherheitslücke wird

Das Kernproblem, das VENOMOUS#HELPER aufdeckt, liegt nicht darin, dass SimpleHelp oder ScreenConnect von Natur aus unsicher sind. Es handelt sich um renommierte Produkte, die täglich von Tausenden legitimer IT-Teams verwendet werden. Das Problem besteht darin, dass Angreifer gelernt haben, genau die Funktionen zu missbrauchen, die diese Tools nützlich machen: einfache Installation, persistente Konnektivität und die Möglichkeit, sich innerhalb eines Netzwerks zu bewegen.

Einmal installiert, kommunizieren RMM-Agenten typischerweise ausgehend über Standard-Web-Ports, die viele Firewalls standardmäßig zulassen. Das bedeutet, dass ein Angreifer, der eine nicht autorisierte RMM-Sitzung kontrolliert, sich lateral zu benachbarten Systemen bewegen, Daten exfiltrieren oder zusätzliche Malware einsetzen kann – und das alles, während er auf den Dashboards zur Netzwerküberwachung wie eine routinemäßige IT-Aktivität aussieht.

Die Verwendung kompromittierter Drittanbieter-Websites als Liefermechanismus erschwert die Abwehr zusätzlich. Traditionelle Kompromittierungsindikatoren – wie das Markieren unbekannter Domains oder nicht signierter ausführbarer Dateien – sind weniger wirksam, wenn die Nutzlast von einer Website stammt, die Sicherheitstools bereits als harmlos eingestuft haben.

Was das für Sie bedeutet

Für Einzelpersonen – insbesondere für diejenigen, die remote oder in hybriden Umgebungen arbeiten – ist diese Kampagne eine Erinnerung daran, dass die Software, die Ihr Arbeitgeber zur Verwaltung Ihres Arbeitsgeräts verwendet, ein echtes Risiko darstellt, wenn sie nicht ordnungsgemäß verwaltet wird. RMM-Tools laufen typischerweise mit erhöhten Berechtigungen. Wenn ein Angreifer die Kontrolle über diesen Kanal erlangt, hat er umfassenden Zugriff auf Ihren Computer und möglicherweise auf die darauf befindlichen Dateien und Zugangsdaten.

Das ist kein Grund zur Panik, aber es ist ein Grund, Fragen zu stellen. Mitarbeiter haben ein legitimes Interesse daran zu wissen, welche Fernzugriffssoftware auf ihren Geräten installiert ist, wer die Möglichkeit hat, eine Sitzung zu starten, und ob diese Sitzungen protokolliert und auditierbar sind. Verantwortungsvolle Arbeitgeber sollten alle drei Fragen klar beantworten können.

Für Organisationen verdeutlicht VENOMOUS#HELPER, warum Zero-Trust-Prinzipien in der Praxis wichtig sind. Eine Zero-Trust-Architektur geht nicht davon aus, dass Datenverkehr, der von einem vertrauenswürdigen Tool oder einer bekannten IP-Adresse stammt, automatisch sicher ist. Jede Sitzung, jede Zugriffsanfrage und jede laterale Verbindung wird überprüft. In Kombination mit Multi-Faktor-Authentifizierung und Netzwerksegmentierung schränkt dieser Ansatz erheblich ein, was ein Angreifer tun kann, selbst nachdem er einen ersten Zugang erlangt hat.

Auch die VPN-Nutzung innerhalb eines Unternehmensnetzwerks spielt hier eine Rolle. Verschlüsselte Tunnel zwischen Remote-Mitarbeitern und internen Ressourcen reduzieren die Exposition sensibler Daten gegenüber Abfangversuchen und schaffen einen konsistenten Authentifizierungspunkt, den RMM-basierte Angreifer überwinden müssten.

Handlungsempfehlungen

Ob Sie ein einzelner Mitarbeiter sind oder die Sicherheit einer Organisation verantworten – es gibt konkrete Maßnahmen, die sich als Reaktion auf das lohnen, was VENOMOUS#HELPER aufzeigt.

Für Einzelpersonen:

  • Fragen Sie Ihre IT-Abteilung, welche RMM-Software auf Ihren Arbeitsgeräten installiert ist, und fordern Sie eine schriftliche Richtlinie darüber an, wie Remote-Sitzungen initiiert und protokolliert werden.
  • Seien Sie vorsichtig bei E-Mails, die Sie auf externe Websites weiterleiten, auch wenn diese vertraut oder professionell wirken.
  • Melden Sie alles, was Software installiert oder erhöhte Berechtigungen anfordert, ohne dass Sie zuvor ausdrücklich darum gebeten haben.

Für Organisationen:

  • Überprüfen Sie alle eingesetzten RMM-Tools und stellen Sie sicher, dass auf den Endpunkten nur autorisierte Versionen mit bekannten Konfigurationen vorhanden sind.
  • Beschränken Sie RMM-Software darin, mit Servern außerhalb Ihrer genehmigten Anbieterinfrastruktur zu kommunizieren.
  • Implementieren Sie Application Allowlisting, um die Ausführung nicht autorisierter RMM-Agenten zu verhindern.
  • Behandeln Sie Phishing-Simulationen als kontinuierliches Programm, nicht als einmalige Übung – insbesondere für Mitarbeiter, die mit externen Anbietern zusammenarbeiten.

VENOMOUS#HELPER ist eine lehrreiche Fallstudie darüber, wie Angreifer sich an die moderne IT-Umgebung anpassen. Anstatt Sicherheitstools direkt zu bekämpfen, suchen sie nach Wegen, vertrauenswürdige Software als Tarnung zu nutzen. Die beste Verteidigung ist eine mehrschichtige: skeptische Benutzer, strenge Netzwerkrichtlinien und Sicherheitsarchitekturen, die davon ausgehen, dass eine Kompromittierung immer möglich ist.