Tietojenkalastelukampanja, joka piiloutuu näkyviin

Kehittynyt tietojenkalastelukampanja nimeltä VENOMOUS#HELPER on vaarantanut yli 80 organisaatiota Yhdysvalloissa, ja erityisen hälyttävää siinä ei ole hyökkääjien itse rakentamat työkalut, vaan ne, jotka he ovat lainanneet. Kampanja hyödyntää laillisia etävalvonta- ja hallintaohjelmistoja (RMM), erityisesti SimpleHelpia ja ScreenConnectia, pysyvän etäyhteyden muodostamiseksi uhrien verkkoihin.

RMM-työkaluja käyttävät laajasti IT-osastot ja hallittujen palveluiden tarjoajat etädiagnoosia, päivityksiä ja päätepisteiden hallintaa varten. Koska yritysten tietoturvasuodattimet pitävät niitä luotettavina, ne ovat houkutteleva väline hyökkääjille, jotka haluavat sulautua normaaliin verkkoliikenteeseen. VENOMOUS#HELPER hyödyntää tätä luottamusta täysimääräisesti.

Hyökkäysketju alkaa tietojenkalasteluviesteillä, jotka ohjaavat uhrit vaarantuneille yrityssivustoille. Todellisten, aiemmin laillisten verkkotunnusten käyttäminen auttaa kampanjaa kiertämään sähköpostin tietoturvasuodattimet ja verkkomaineentarkistukset, jotka merkitsisivät tuntemattomat tai äskettäin rekisteröidyt sivustot epäilyttäviksi. Kun uhri on vuorovaikutuksessa haitallisen sisällön kanssa, RMM-ohjelmisto asennetaan huomaamattomasti, mikä antaa hyökkääjille pysyvän jalansijan, joka selviää uudelleenkäynnistyksistä, päätepisteiden skannauksista ja jopa joidenkin tietoturvatyökalujen käyttöönotoista.

Miten RMM-ohjelmistosta tulee haavoittuvuus

VENOMOUS#HELPERin paljastama ydinongema ei ole se, että SimpleHelp tai ScreenConnect olisivat luonnostaan epäturvallisia. Nämä ovat arvostettuja tuotteita, joita tuhannet lailliset IT-tiimit käyttävät päivittäin. Ongelma on, että hyökkääjät ovat keksineet, miten aseistaa juuri ne ominaisuudet, jotka tekevät näistä työkaluista hyödyllisiä: kevyt asennus, pysyvä yhteys ja kyky liikkua verkon läpi.

Asennuksen jälkeen RMM-agentit kommunikoivat tyypillisesti ulospäin tavallisten verkkoporttien kautta, jotka monet palomuurit sallivat oletuksena. Tämä tarkoittaa, että vilpillistä RMM-istuntoa hallitseva hyökkääjä voi liikkua sivusuunnassa viereisiin järjestelmiin, suodattaa tietoja tai ottaa käyttöön lisähaittaohjelmia — kaikki tämä näyttäytyen verkon valvontapaneelikohtaisesti tavanomaisena IT-toimintana.

Vaarantuneiden kolmannen osapuolen verkkosivustojen käyttö toimitusmekanismina lisää puolustajille vielä yhden vaikeuskerroksen. Perinteiset kompromissin indikaattorit, kuten tuntemattomien verkkotunnusten tai allekirjoittamattomien suoritettavien tiedostojen merkitseminen, ovat vähemmän tehokkaita, kun hyötykuorma saapuu sivustolta, jonka tietoturvatyökalut ovat jo luokitelleet hyvämainiseksi.

Mitä tämä tarkoittaa sinulle

Yksittäisille henkilöille — erityisesti etänä tai hybridityöympäristöissä työskenteleville — tämä kampanja on muistutus siitä, että ohjelmisto, jota työnantajasi käyttää työlaitteesi hallintaan, kantaa todellista riskiä, jos sitä ei hallita asianmukaisesti. RMM-työkalut toimivat tyypillisesti korotetuin käyttöoikeuksin. Jos hyökkääjä saa hallinnan kyseiseen kanavaan, hänellä on laaja pääsy koneellesi ja mahdollisesti sen tiedostoihin ja tunnistetietoihin.

Tämä ei ole syy paniikkiin, mutta se on syy esittää kysymyksiä. Työntekijöillä on oikeutettu intressi tietää, mitä etäkäyttöohjelmistoja heidän laitteilleen on asennettu, kenellä on oikeus aloittaa istunto ja kirjataanko nämä istunnot ja voidaanko niitä tarkastaa. Vastuullisten työnantajien tulisi pystyä vastaamaan kaikkiin kolmeen kysymykseen selkeästi.

Organisaatioille VENOMOUS#HELPER havainnollistaa, miksi nolla-luottamusperiaatteilla on merkitystä käytännössä. Nolla-luottamusarkkitehtuuri ei oleta, että luotetusta työkalusta tai tunnetusta IP-osoitteesta lähtöisin oleva liikenne on automaattisesti turvallista. Jokainen istunto, jokainen käyttöpyyntö ja jokainen sivusuuntainen yhteys todennetaan. Yhdistettynä monivaiheiseen todennukseen ja verkon segmentointiin tämä lähestymistapa rajoittaa merkittävästi sitä, mitä hyökkääjä voi tehdä, vaikka hän olisi jo saanut alkujalansijan.

VPN:n käytöllä yritysverkon sisällä on myös tässä roolinsa. Salatut tunnelit etätyöntekijöiden ja sisäisten resurssien välillä vähentävät arkaluonteisen liikenteen altistumista sieppaukselle ja luovat johdonmukaisen todennustarkistuspisteen, jonka RMM-pohjaisten hyökkääjien olisi ylitettävä.

Konkreettiset toimenpiteet

Olitpa sitten yksittäinen työntekijä tai vastuussa organisaation tietoturvasta, on olemassa konkreettisia toimenpiteitä, jotka kannattaa toteuttaa VENOMOUS#HELPERin paljastamien uhkien perusteella.

Yksittäisille henkilöille:

  • Kysy IT-osastoltasi, mitä RMM-ohjelmistoa työlaitteillesi on asennettu, ja pyydä kirjallinen käytäntö siitä, miten etäistunnot aloitetaan ja kirjataan.
  • Ole varovainen sähköpostien kanssa, jotka ohjaavat sinut ulkoisille verkkosivustoille, vaikka ne näyttäisivät tutuilta tai ammattimaisilta.
  • Ilmoita kaikesta, mikä asentaa ohjelmistoja tai pyytää korotettuja oikeuksia ilman selkeää ennakkopyyntöäsi.

Organisaatioille:

  • Auditoi kaikki käyttöönotetut RMM-työkalut ja varmista, että päätepisteillä on vain valtuutettuja versioita tunnetuilla kokoonpanoilla.
  • Estä RMM-ohjelmistoa kommunikoimasta minkään palvelimen kanssa, joka ei kuulu hyväksyttyyn toimittajainfrastruktuuriisi.
  • Ota käyttöön sovellusten sallittujen listojen hallinta, jotta luvattomia RMM-agentteja ei voida suorittaa.
  • Kohtele tietojenkalastelusimulaatioita jatkuvana ohjelmana eikä kertaluonteisena harjoituksena — erityisesti ulkoisten toimittajien kanssa työskentelevien työntekijöiden osalta.

VENOMOUS#HELPER on hyödyllinen tapaustutkimus siitä, miten hyökkääjät sopeutuvat moderniin IT-ympäristöön. Sen sijaan, että he taistelisivat tietoturvatyökaluja vastaan suoraan, he löytävät tapoja käyttää luotettua ohjelmistoa suojakseen. Paras puolustus on kerrostettu: epäilevät käyttäjät, tiukat verkkokäytännöt ja tietoturva-arkkitehtuurit, jotka olettavat kompromiisin olevan aina mahdollinen.