Cybersécurité

La campagne de phishing VENOMOUS#HELPER frappe plus de 80 organisations américaines via des outils RMM

5 mai 20264 min de lecture

Par Marcus Weber — Certifié CISSP, 12 ans de journalisme en cybersécurité

La campagne de phishing VENOMOUS#HELPER frappe plus de 80 organisations américaines via des outils RMM

Une campagne de phishing qui se cache à la vue de tous

Une campagne de phishing sophistiquée connue sous le nom de VENOMOUS#HELPER a compromis plus de 80 organisations à travers les États-Unis, et ce qui la rend particulièrement alarmante, ce n'est pas les outils que les attaquants ont construits, mais ceux qu'ils ont empruntés. La campagne exploite des logiciels légitimes de surveillance et de gestion à distance (RMM), en particulier SimpleHelp et ScreenConnect, afin d'établir un accès à distance persistant au sein des réseaux victimes.

Les outils RMM sont largement utilisés par les départements informatiques et les prestataires de services gérés pour diagnostiquer, mettre à jour et administrer des terminaux à distance. Parce qu'ils sont approuvés par les filtres de sécurité des entreprises, ils représentent un vecteur d'attaque attrayant pour les attaquants qui souhaitent se fondre dans le trafic réseau normal. VENOMOUS#HELPER exploite pleinement cette confiance.

La chaîne d'attaque commence par des e-mails de phishing qui dirigent les victimes vers des sites web d'entreprises compromis. L'utilisation de domaines réels, auparavant légitimes, permet à la campagne de contourner les filtres de sécurité des e-mails et les vérifications de réputation web qui signaleraient des sites inconnus ou nouvellement enregistrés. Une fois qu'une victime interagit avec le contenu malveillant, un logiciel RMM est installé silencieusement, offrant aux attaquants un point d'ancrage persistant capable de survivre aux redémarrages, aux analyses de terminaux, et même à certains déploiements d'outils de sécurité.

Comment les logiciels RMM deviennent une vulnérabilité

Le problème fondamental mis en lumière par VENOMOUS#HELPER n'est pas que SimpleHelp ou ScreenConnect soient intrinsèquement non sécurisés. Ce sont des produits réputés utilisés quotidiennement par des milliers d'équipes informatiques légitimes. Le problème, c'est que les attaquants ont trouvé comment armer les fonctionnalités mêmes qui rendent ces outils utiles : installation légère, connectivité persistante et capacité à se déplacer latéralement au sein d'un réseau.

Une fois installés, les agents RMM communiquent généralement en sortie via des ports web standard, que de nombreux pare-feux autorisent par défaut. Cela signifie qu'un attaquant contrôlant une session RMM malveillante peut se déplacer latéralement vers des systèmes adjacents, exfiltrer des données ou déployer des logiciels malveillants supplémentaires, tout en apparaissant comme une activité informatique de routine sur les tableaux de bord de surveillance réseau.

L'utilisation de sites web tiers compromis comme mécanisme de livraison ajoute une couche supplémentaire de difficulté pour les défenseurs. Les indicateurs de compromission traditionnels, comme le signalement de domaines inconnus ou d'exécutables non signés, sont moins efficaces lorsque la charge utile provient d'un site que les outils de sécurité ont déjà classifié comme inoffensif.

Ce que cela signifie pour vous

Pour les particuliers, notamment ceux qui travaillent à distance ou dans des environnements hybrides, cette campagne rappelle que le logiciel utilisé par votre employeur pour gérer votre appareil professionnel présente un risque réel s'il n'est pas correctement encadré. Les outils RMM fonctionnent généralement avec des privilèges élevés. Si un attaquant prend le contrôle de ce canal, il dispose d'un accès étendu à votre machine et potentiellement aux fichiers et identifiants qu'elle contient.

Ce n'est pas une raison de paniquer, mais c'est une raison de poser des questions. Les employés ont un intérêt légitime à savoir quels logiciels d'accès à distance sont installés sur leurs appareils, qui a la capacité d'initier une session, et si ces sessions sont journalisées et auditables. Les employeurs responsables devraient être en mesure de répondre clairement à ces trois questions.

Pour les organisations, VENOMOUS#HELPER illustre pourquoi les principes de zéro confiance ont de l'importance dans la pratique. Une architecture zéro confiance ne suppose pas que le trafic provenant d'un outil de confiance ou d'une adresse IP connue est automatiquement sûr. Chaque session, chaque demande d'accès et chaque connexion latérale est vérifiée. Combinée à l'authentification multifacteur et à la segmentation du réseau, cette approche limite considérablement ce qu'un attaquant peut faire, même après avoir obtenu un premier point d'ancrage.

L'utilisation d'un VPN au sein d'un réseau d'entreprise joue également un rôle ici. Les tunnels chiffrés entre les travailleurs à distance et les ressources internes réduisent l'exposition du trafic sensible à l'interception, et ils créent un point de contrôle d'authentification cohérent que les attaquants exploitant les RMM devraient surmonter.

Mesures concrètes à prendre

Que vous soyez un employé individuel ou responsable de la sécurité d'une organisation, il existe des étapes concrètes à envisager en réponse à ce que révèle VENOMOUS#HELPER.

Pour les particuliers :

Demandez à votre département informatique quels logiciels RMM sont installés sur vos appareils professionnels et réclamez une politique écrite sur la manière dont les sessions à distance sont initiées et journalisées.
Soyez prudent avec les e-mails qui vous redirigent vers des sites web externes, même ceux qui semblent familiers ou professionnels.
Signalez tout ce qui installe un logiciel ou demande des autorisations élevées sans demande préalable claire de votre part.

Pour les organisations :

Auditez tous les outils RMM déployés et assurez-vous que seules des versions autorisées avec des configurations connues sont présentes sur les terminaux.
Empêchez les logiciels RMM de communiquer avec tout serveur en dehors de l'infrastructure de votre fournisseur approuvé.
Mettez en œuvre une liste blanche d'applications pour empêcher l'exécution d'agents RMM non autorisés.
Traitez les simulations de phishing comme un programme continu, et non comme un exercice ponctuel, en particulier pour les employés qui travaillent avec des fournisseurs externes.

VENOMOUS#HELPER constitue un cas d'étude instructif sur la manière dont les attaquants s'adaptent à l'environnement informatique moderne. Plutôt que de combattre directement les outils de sécurité, ils trouvent des moyens d'utiliser des logiciels de confiance comme couverture. La meilleure défense est une défense en couches : des utilisateurs vigilants, des politiques réseau strictes et des architectures de sécurité qui supposent qu'une compromission est toujours possible.

// FAQ

Qu'est-ce que la campagne VENOMOUS#HELPER ?

VENOMOUS#HELPER est une campagne de phishing sophistiquée qui a compromis plus de 80 organisations à travers les États-Unis. Elle exploite des logiciels légitimes de surveillance et de gestion à distance (RMM), en particulier SimpleHelp et ScreenConnect, afin d'établir un accès à distance persistant au sein des réseaux victimes.

Comment l'attaque commence-t-elle ?

La chaîne d'attaque débute par des e-mails de phishing qui dirigent les victimes vers des sites web d'entreprises compromis, en utilisant des domaines réels et auparavant légitimes. Une fois qu'une victime interagit avec le contenu malveillant, un logiciel RMM est installé silencieusement sur son appareil.

Pourquoi les outils RMM sont-ils particulièrement utiles aux attaquants dans cette campagne ?

Les outils RMM sont approuvés par les filtres de sécurité des entreprises et communiquent en sortie via des ports web standard que de nombreux pare-feux autorisent par défaut, permettant aux attaquants de se fondre dans le trafic réseau normal. Leurs fonctionnalités, notamment l'installation légère, la connectivité persistante et la capacité de déplacement latéral au sein du réseau, les rendent efficaces à des fins malveillantes.

Pourquoi est-il difficile pour les défenseurs de détecter cette campagne ?

La campagne utilise des sites web tiers compromis que les outils de sécurité ont déjà classifiés comme inoffensifs, ce qui rend les indicateurs de compromission traditionnels moins efficaces. L'activité malveillante apparaît également comme une activité informatique de routine sur les tableaux de bord de surveillance réseau.

Quel risque cette campagne représente-t-elle pour les employés individuels ?

Les outils RMM fonctionnent généralement avec des privilèges élevés, ce qui signifie qu'un attaquant prenant le contrôle de ce canal dispose d'un accès étendu à la machine de la victime, y compris à ses fichiers et identifiants. Les employés travaillant à distance ou dans des environnements hybrides sont particulièrement identifiés comme étant à risque.

Une campagne de phishing qui se cache à la vue de tous

Comment les logiciels RMM deviennent une vulnérabilité

Ce que cela signifie pour vous

Mesures concrètes à prendre

// FAQ

// Similaires