Κυβερνοασφάλεια

Η Εκστρατεία Phishing VENOMOUS#HELPER Πλήττει 80+ Αμερικανικούς Οργανισμούς μέσω Εργαλείων RMM

5 Μαΐου 20264 λεπτά ανάγνωση

By Μάρκους Βέμπερ — Πιστοποιημένος CISSP, 12 χρόνια στη δημοσιογραφία κυβερνοασφάλειας

Η Εκστρατεία Phishing VENOMOUS#HELPER Πλήττει 80+ Αμερικανικούς Οργανισμούς μέσω Εργαλείων RMM

Μια Εκστρατεία Phishing που Κρύβεται στα Φανερά

Μια εξελιγμένη εκστρατεία phishing γνωστή ως VENOMOUS#HELPER έχει παραβιάσει περισσότερους από 80 οργανισμούς σε όλες τις Ηνωμένες Πολιτείες, και αυτό που την καθιστά ιδιαίτερα ανησυχητική δεν είναι τα εργαλεία που κατασκεύασαν οι επιτιθέμενοι, αλλά αυτά που δανείστηκαν. Η εκστρατεία εκμεταλλεύεται νόμιμο λογισμικό Απομακρυσμένης Παρακολούθησης και Διαχείρισης (RMM), συγκεκριμένα το SimpleHelp και το ScreenConnect, για να εγκαθιδρύσει μόνιμη απομακρυσμένη πρόσβαση εντός των δικτύων των θυμάτων.

Τα εργαλεία RMM χρησιμοποιούνται ευρέως από τμήματα πληροφορικής και παρόχους διαχειριζόμενων υπηρεσιών για την απομακρυσμένη διάγνωση, ενημέρωση και διαχείριση τερματικών συσκευών. Επειδή είναι αξιόπιστα από τα εταιρικά φίλτρα ασφαλείας, αποτελούν ελκυστικό όχημα για επιτιθέμενους που θέλουν να ανακατευτούν με την κανονική κίνηση δικτύου. Το VENOMOUS#HELPER εκμεταλλεύεται πλήρως αυτή την εμπιστοσύνη.

Η αλυσίδα επίθεσης ξεκινά με μηνύματα phishing που κατευθύνουν τα θύματα σε παραβιασμένους επιχειρηματικούς ιστότοπους. Η χρήση πραγματικών, προηγουμένως νόμιμων τομέων βοηθά την εκστρατεία να παρακάμψει τα φίλτρα ασφαλείας email και τους ελέγχους φήμης ιστού που θα επισήμαιναν άγνωστους ή πρόσφατα καταχωρημένους ιστότοπους. Μόλις ένα θύμα αλληλεπιδράσει με το κακόβουλο περιεχόμενο, το λογισμικό RMM εγκαθίσταται αθόρυβα, δίνοντας στους επιτιθέμενους ένα μόνιμο έρεισμα που μπορεί να επιβιώσει από επανεκκινήσεις, σαρώσεις τερματικών συσκευών και ακόμη και ορισμένες αναπτύξεις εργαλείων ασφαλείας.

Πώς το Λογισμικό RMM Γίνεται Υποχρέωση

Το βασικό πρόβλημα που αναδεικνύει το VENOMOUS#HELPER δεν είναι ότι το SimpleHelp ή το ScreenConnect είναι εγγενώς ανασφαλή. Πρόκειται για αξιόπιστα προϊόντα που χρησιμοποιούνται καθημερινά από χιλιάδες νόμιμες ομάδες πληροφορικής. Το πρόβλημα είναι ότι οι επιτιθέμενοι έχουν βρει τρόπο να εξοπλίσουν τα ίδια χαρακτηριστικά που καθιστούν αυτά τα εργαλεία χρήσιμα: ελαφριά εγκατάσταση, μόνιμη συνδεσιμότητα και τη δυνατότητα μετακίνησης μέσα σε ένα δίκτυο.

Μόλις εγκατασταθούν, οι πράκτορες RMM συνήθως επικοινωνούν εξερχόμενα μέσω τυπικών θυρών ιστού, τις οποίες πολλά τείχη προστασίας επιτρέπουν από προεπιλογή. Αυτό σημαίνει ότι ένας επιτιθέμενος που ελέγχει μια παράνομη συνεδρία RMM μπορεί να μετακινηθεί πλευρικά σε γειτονικά συστήματα, να εξαγάγει δεδομένα ή να αναπτύξει πρόσθετο κακόβουλο λογισμικό, και όλα αυτά ενώ φαίνεται να πραγματοποιεί συνήθη δραστηριότητα πληροφορικής στα ταμπλό παρακολούθησης δικτύου.

Η χρήση παραβιασμένων ιστότοπων τρίτων ως μηχανισμός παράδοσης προσθέτει ένα ακόμη επίπεδο δυσκολίας για τους υπερασπιστές. Οι παραδοσιακοί δείκτες παραβίασης, όπως η επισήμανση άγνωστων τομέων ή μη υπογεγραμμένων εκτελέσιμων αρχείων, είναι λιγότερο αποτελεσματικοί όταν το ωφέλιμο φορτίο φτάνει από έναν ιστότοπο που τα εργαλεία ασφαλείας έχουν ήδη ταξινομήσει ως αβλαβή.

Τι Σημαίνει Αυτό για Εσάς

Για τα άτομα, ιδιαίτερα αυτά που εργάζονται εξ αποστάσεως ή σε υβριδικά περιβάλλοντα, αυτή η εκστρατεία αποτελεί υπενθύμιση ότι το λογισμικό που χρησιμοποιεί ο εργοδότης σας για να διαχειριστεί τη συσκευή εργασίας σας ενέχει πραγματικό κίνδυνο εάν δεν διέπεται σωστά. Τα εργαλεία RMM εκτελούνται συνήθως με αυξημένα δικαιώματα. Εάν ένας επιτιθέμενος αποκτήσει έλεγχο αυτού του καναλιού, έχει ευρεία πρόσβαση στον υπολογιστή σας και ενδεχομένως στα αρχεία και τα διαπιστευτήρια που βρίσκονται σε αυτόν.

Αυτό δεν είναι λόγος πανικού, αλλά είναι λόγος να κάνετε ερωτήσεις. Οι εργαζόμενοι έχουν νόμιμο συμφέρον να γνωρίζουν ποιο λογισμικό απομακρυσμένης πρόσβασης είναι εγκατεστημένο στις συσκευές τους, ποιος έχει τη δυνατότητα να ξεκινήσει μια συνεδρία και εάν αυτές οι συνεδρίες καταγράφονται και μπορούν να ελεγχθούν. Οι υπεύθυνοι εργοδότες θα πρέπει να είναι σε θέση να απαντήσουν ξεκάθαρα και στις τρεις ερωτήσεις.

Για τους οργανισμούς, το VENOMOUS#HELPER καταδεικνύει γιατί οι αρχές μηδενικής εμπιστοσύνης έχουν σημασία στην πράξη. Μια αρχιτεκτονική μηδενικής εμπιστοσύνης δεν υποθέτει ότι η κίνηση που προέρχεται από ένα αξιόπιστο εργαλείο ή μια γνωστή διεύθυνση IP είναι αυτόματα ασφαλής. Κάθε συνεδρία, κάθε αίτηση πρόσβασης και κάθε πλευρική σύνδεση επαληθεύεται. Σε συνδυασμό με έλεγχο ταυτότητας πολλαπλών παραγόντων και τμηματοποίηση δικτύου, αυτή η προσέγγιση περιορίζει σημαντικά τι μπορεί να κάνει ένας επιτιθέμενος ακόμη και αφού αποκτήσει αρχικό έρεισμα.

Η χρήση VPN εντός ενός εταιρικού δικτύου διαδραματίζει επίσης ρόλο εδώ. Τα κρυπτογραφημένα τούνελ μεταξύ απομακρυσμένων εργαζομένων και εσωτερικών πόρων μειώνουν την έκθεση ευαίσθητης κίνησης σε υποκλοπή, και δημιουργούν ένα συνεπές σημείο ελέγχου ταυτότητας που οι επιτιθέμενοι βασισμένοι σε RMM θα έπρεπε να ξεπεράσουν.

Πρακτικά Συμπεράσματα

Είτε είστε μεμονωμένος εργαζόμενος είτε υπεύθυνος για την ασφάλεια ενός οργανισμού, υπάρχουν συγκεκριμένα βήματα που αξίζει να λάβετε ως απόκριση σε αυτά που αποκαλύπτει το VENOMOUS#HELPER.

Για άτομα:

Ρωτήστε το τμήμα πληροφορικής σας ποιο λογισμικό RMM είναι εγκατεστημένο στις συσκευές εργασίας σας και ζητήστε γραπτή πολιτική σχετικά με τον τρόπο εκκίνησης και καταγραφής των απομακρυσμένων συνεδριών.
Να είστε προσεκτικοί με μηνύματα που σας κατευθύνουν σε εξωτερικούς ιστότοπους, ακόμη και αν φαίνονται οικεία ή επαγγελματικά.
Αναφέρετε οτιδήποτε εγκαθιστά λογισμικό ή ζητά αυξημένα δικαιώματα χωρίς σαφές προηγούμενο αίτημα από εσάς.

Για οργανισμούς:

Ελέγξτε όλα τα αναπτυγμένα εργαλεία RMM και βεβαιωθείτε ότι μόνο εξουσιοδοτημένες εκδόσεις με γνωστές διαμορφώσεις υπάρχουν στις τερματικές συσκευές.
Περιορίστε το λογισμικό RMM από την επικοινωνία με οποιονδήποτε διακομιστή εκτός της εγκεκριμένης υποδομής του προμηθευτή σας.
Εφαρμόστε λίστες επιτρεπόμενων εφαρμογών για να αποτρέψετε την εκτέλεση μη εξουσιοδοτημένων πρακτόρων RMM.
Αντιμετωπίστε τις προσομοιώσεις phishing ως συνεχές πρόγραμμα, όχι ως εφάπαξ άσκηση, ιδιαίτερα για εργαζομένους που συνεργάζονται με εξωτερικούς προμηθευτές.

Το VENOMOUS#HELPER είναι μια χρήσιμη μελέτη περίπτωσης για το πώς οι επιτιθέμενοι προσαρμόζονται στο σύγχρονο περιβάλλον πληροφορικής. Αντί να παλεύουν απευθείας με τα εργαλεία ασφαλείας, βρίσκουν τρόπους να χρησιμοποιούν αξιόπιστο λογισμικό ως κάλυψη. Η καλύτερη άμυνα είναι πολυεπίπεδη: καχύποπτοι χρήστες, αυστηρές πολιτικές δικτύου και αρχιτεκτονικές ασφαλείας που προϋποθέτουν ότι η παραβίαση είναι πάντα πιθανή.

// FAQ

Τι είναι η εκστρατεία VENOMOUS#HELPER;

Το VENOMOUS#HELPER είναι μια εξελιγμένη εκστρατεία phishing που έχει παραβιάσει περισσότερους από 80 οργανισμούς σε όλες τις Ηνωμένες Πολιτείες. Εκμεταλλεύεται νόμιμο λογισμικό Απομακρυσμένης Παρακολούθησης και Διαχείρισης, συγκεκριμένα το SimpleHelp και το ScreenConnect, για να εγκαθιδρύσει μόνιμη απομακρυσμένη πρόσβαση εντός των δικτύων των θυμάτων.

Πώς ξεκινά η επίθεση;

Η αλυσίδα επίθεσης ξεκινά με μηνύματα phishing που κατευθύνουν τα θύματα σε παραβιασμένους επιχειρηματικούς ιστότοπους χρησιμοποιώντας πραγματικούς, προηγουμένως νόμιμους τομείς. Μόλις ένα θύμα αλληλεπιδράσει με το κακόβουλο περιεχόμενο, το λογισμικό RMM εγκαθίσταται αθόρυβα στη συσκευή του.

Γιατί τα εργαλεία RMM είναι ιδιαίτερα χρήσιμα για τους επιτιθέμενους σε αυτή την εκστρατεία;

Τα εργαλεία RMM είναι αξιόπιστα από τα εταιρικά φίλτρα ασφαλείας και επικοινωνούν εξερχόμενα μέσω τυπικών θυρών ιστού που πολλά τείχη προστασίας επιτρέπουν από προεπιλογή, επιτρέποντας στους επιτιθέμενους να ανακατεύονται με την κανονική κίνηση δικτύου. Τα χαρακτηριστικά τους, συμπεριλαμβανομένης της ελαφριάς εγκατάστασης, της μόνιμης συνδεσιμότητας και της ικανότητας πλευρικής μετακίνησης σε δίκτυο, τα καθιστούν αποτελεσματικά για κακόβουλους σκοπούς.

Γιατί είναι δύσκολο για τους υπερασπιστές να εντοπίσουν αυτή την εκστρατεία;

Η εκστρατεία χρησιμοποιεί παραβιασμένους ιστότοπους τρίτων που τα εργαλεία ασφαλείας έχουν ήδη ταξινομήσει ως αβλαβείς, καθιστώντας τους παραδοσιακούς δείκτες παραβίασης λιγότερο αποτελεσματικούς. Η κακόβουλη δραστηριότητα εμφανίζεται επίσης ως συνήθης δραστηριότητα πληροφορικής στα ταμπλό παρακολούθησης δικτύου.

Τι κίνδυνο ενέχει αυτή η εκστρατεία για μεμονωμένους εργαζομένους;

Τα εργαλεία RMM εκτελούνται συνήθως με αυξημένα δικαιώματα, πράγμα που σημαίνει ότι ένας επιτιθέμενος που αποκτά έλεγχο αυτού του καναλιού έχει ευρεία πρόσβαση στον υπολογιστή του θύματος, συμπεριλαμβανομένων αρχείων και διαπιστευτηρίων. Οι εργαζόμενοι που εργάζονται εξ αποστάσεως ή σε υβριδικά περιβάλλοντα αναφέρονται ειδικά ως ομάδες υψηλού κινδύνου.

Μια Εκστρατεία Phishing που Κρύβεται στα Φανερά

Πώς το Λογισμικό RMM Γίνεται Υποχρέωση

Τι Σημαίνει Αυτό για Εσάς

Πρακτικά Συμπεράσματα

// FAQ

// Σχετικά