Sigurnost cyber prostora

Phishing kampanja VENOMOUS#HELPER pogodila više od 80 američkih organizacija putem RMM alata

5. svibnja 2026.4 min čitanja

By Marcus Weber — CISSP certificiran, 12 godina u novinarstvu o kibernetičkoj sigurnosti

Phishing kampanja VENOMOUS#HELPER pogodila više od 80 američkih organizacija putem RMM alata

Phishing kampanja koja se skriva na vidljivom mjestu

Sofisticirana phishing kampanja poznata kao VENOMOUS#HELPER kompromitirala je više od 80 organizacija diljem Sjedinjenih Država, a ono što je posebno zabrinjavajuće nije u alatima koje su napadači izgradili, već u onima koje su posudili. Kampanja iskorištava legitimni softver za daljinsko nadziranje i upravljanje (RMM), konkretno SimpleHelp i ScreenConnect, kako bi uspostavila trajni daljinski pristup unutar mreža žrtava.

RMM alati naširoko se koriste u IT odjelima i kod pružatelja upravljanih usluga za daljinsku dijagnostiku, ažuriranje i upravljanje krajnjim točkama. Budući da ih korporativni sigurnosni filtri smatraju pouzdanima, predstavljaju privlačan kanal za napadače koji se žele stopiti s uobičajenim mrežnim prometom. VENOMOUS#HELPER u potpunosti iskorištava ovo povjerenje.

Napadački lanac počinje phishing porukama e-pošte koje usmjeravaju žrtve na kompromitirana poslovna web-mjesta. Korištenjem stvarnih, prethodno legitimnih domena kampanja izbjegava sigurnosne filtere e-pošte i provjere reputacije weba koje bi označile nepoznata ili novoregistrirana mjesta. Nakon što žrtva stupi u interakciju sa zlonamjernim sadržajem, RMM softver se tiho instalira, dajući napadačima trajno uporište koje može preživjeti ponovne pokrete sustava, skeniranja krajnjih točaka pa čak i neke implementacije sigurnosnih alata.

Kako RMM softver postaje odgovornost

Temeljni problem koji VENOMOUS#HELPER otkriva nije u tome da su SimpleHelp ili ScreenConnect inherentno nesigurni. Riječ je o uglednim proizvodima koje svakodnevno koriste tisuće legitimnih IT timova. Problem je u tome što su napadači shvatili kako oružjem pretvoriti upravo one značajke koje ove alate čine korisnima: laganu instalaciju, trajnu povezivost i mogućnost kretanja kroz mrežu.

Nakon instalacije, RMM agenti tipično komuniciraju prema van putem standardnih web portova koje mnogi vatrozidi zadano dopuštaju. To znači da napadač koji kontrolira lažnu RMM sesiju može lateralno se kretati prema susjednim sustavima, eksfiltrirati podatke ili instalirati dodatni zlonamjerni softver — sve dok na nadzornim pločama za praćenje mreže izgleda kao rutinska IT aktivnost.

Upotreba kompromitiranih web-mjesta trećih strana kao mehanizma isporuke dodaje još jedan sloj teškoće za branitelje. Tradicionalni pokazatelji kompromitacije — poput označavanja nepoznatih domena ili nepotpisanih izvršnih datoteka — manje su učinkoviti kada teret dolazi s mjesta koje su sigurnosni alati već klasificirali kao bezopasno.

Što ovo znači za vas

Za pojedince, posebno one koji rade na daljinu ili u hibridnim okruženjima, ova kampanja podsjeća da softver koji vaš poslodavac koristi za upravljanje vašim radnim uređajem nosi stvarni rizik ako nije pravilno nadziran. RMM alati tipično se izvode s povišenim ovlastima. Ako napadač preuzme kontrolu nad tim kanalom, ima širok pristup vašem uređaju i potencijalno datotekama i vjerodajnicama na njemu.

To nije razlog za paniku, ali jest razlog za postavljanje pitanja. Zaposlenici imaju legitiman interes znati koji je softver za daljinski pristup instaliran na njihovim uređajima, tko ima mogućnost pokrenuti sesiju i jesu li te sesije zapisivane i revizijski praćene. Odgovorni poslodavci trebali bi moći jasno odgovoriti na sva tri pitanja.

Za organizacije, VENOMOUS#HELPER ilustrira zašto su principi nultog povjerenja (zero-trust) važni u praksi. Arhitektura nultog povjerenja ne pretpostavlja da je promet koji potječe od pouzdanog alata ili poznate IP adrese automatski siguran. Svaka sesija, svaki zahtjev za pristup i svaka lateralna veza provjeravaju se. U kombinaciji s višefaktorskom autentifikacijom i segmentacijom mreže, ovaj pristup značajno ograničava što napadač može učiniti čak i nakon što je stekao početno uporište.

Korištenje VPN-a unutar korporativne mreže također igra ulogu u ovom kontekstu. Šifrirani tuneli između udaljenih radnika i internih resursa smanjuju izloženost osjetljivog prometa presretanju te stvaraju dosljednu točku provjere autentičnosti s kojom bi napadači temeljeni na RMM-u morali se suočiti.

Konkretni zaključci

Bez obzira jeste li individualni zaposlenik ili odgovorni za sigurnost organizacije, postoje konkretni koraci koje vrijedi poduzeti kao odgovor na ono što VENOMOUS#HELPER otkriva.

Za pojedince:

Pitajte svoj IT odjel koji je RMM softver instaliran na vašim radnim uređajima i zatražite pisanu politiku o tome kako se daljinske sesije pokreću i bilježe.
Budite oprezni s porukama e-pošte koje vas usmjeravaju na vanjska web-mjesta, čak i ona koja izgledaju poznato ili profesionalno.
Prijavite sve što instalira softver ili traži povišene ovlasti bez jasnog prethodnog zahtjeva s vaše strane.

Za organizacije:

Revidirajte sve implementirane RMM alate i osigurajte da su na krajnjim točkama prisutne samo ovlaštene verzije s poznatim konfiguracijama.
Ograničite RMM softver od komunikacije s bilo kojim poslužiteljem izvan vaše odobrene infrastrukture dobavljača.
Implementirajte popis dopuštenih aplikacija kako biste spriječili izvođenje neovlaštenih RMM agenata.
Tretiranje phishing simulacija kao kontinuiranog programa, a ne jednokratne vježbe, posebno za zaposlenike koji rade s vanjskim dobavljačima.

VENOMOUS#HELPER koristan je studij slučaja o tome kako se napadači prilagođavaju modernom IT okruženju. Umjesto da se izravno bore sa sigurnosnim alatima, pronalaze načine kako koristiti pouzdani softver kao pokriće. Najbolja obrana je višeslojna: skeptični korisnici, stroge mrežne politike i sigurnosne arhitekture koje pretpostavljaju da je kompromitacija uvijek moguća.

// FAQ

Što je kampanja VENOMOUS#HELPER?

VENOMOUS#HELPER je sofisticirana phishing kampanja koja je kompromitirala više od 80 organizacija diljem Sjedinjenih Država. Iskorištava legitimni softver za daljinsko nadziranje i upravljanje (RMM), konkretno SimpleHelp i ScreenConnect, kako bi uspostavila trajni daljinski pristup unutar mreža žrtava.

Kako napad počinje?

Napadački lanac počinje phishing porukama e-pošte koje usmjeravaju žrtve na kompromitirana poslovna web-mjesta koristeći stvarne, prethodno legitimne domene. Nakon što žrtva stupi u interakciju sa zlonamjernim sadržajem, RMM softver se tiho instalira na njezin uređaj.

Zašto su RMM alati posebno korisni napadačima u ovoj kampanji?

RMM alati smatraju se pouzdanima od strane korporativnih sigurnosnih filtara i komuniciraju prema van putem standardnih web portova koje mnogi vatrozidi zadano dopuštaju, što napadačima omogućuje stapanje s uobičajenim mrežnim prometom. Njihove značajke — uključujući laganu instalaciju, trajnu povezivost i mogućnost kretanja kroz mrežu — čine ih učinkovitima za zlonamjerne svrhe.

Zašto je braniteljima teško otkriti ovu kampanju?

Kampanja koristi kompromitirana web-mjesta trećih strana koja su sigurnosni alati već klasificirali kao bezopasna, što tradicionalne pokazatelje kompromitacije čini manje učinkovitima. Zlonamjerna aktivnost također se na nadzornim pločama za praćenje mreže pojavljuje kao rutinska IT aktivnost.

Kakav rizik ova kampanja predstavlja za pojedinačne zaposlenike?

RMM alati tipično se izvode s povišenim ovlastima, što znači da napadač koji preuzme kontrolu nad tim kanalom ima širok pristup uređaju žrtve, uključujući datoteke i vjerodajnice. Zaposlenici koji rade na daljinu ili u hibridnim okruženjima posebno su istaknuti kao izloženi riziku.

Phishing kampanja koja se skriva na vidljivom mjestu

Kako RMM softver postaje odgovornost

Što ovo znači za vas

Konkretni zaključci

// FAQ

// Povezano