Egy adathalász kampány, amely a nyílt napvilágon bújik el

A VENOMOUS#HELPER névre keresztelt kifinomult adathalász kampány több mint 80 szervezetet kompromittált az Egyesült Államokban, és ami különösen aggasztóvá teszi, az nem a támadók által épített eszközök, hanem azok, amelyeket kölcsönöztek. A kampány legitim Remote Monitoring and Management (RMM) szoftvereket – konkrétan a SimpleHelp-et és a ScreenConnect-et – használja ki, hogy tartós távoli hozzáférést építsen ki az áldozatok hálózatain belül.

Az RMM-eszközöket az informatikai részlegek és a menedzselt szolgáltatók széles körben használják a végpontok távoli diagnosztizálására, frissítésére és kezelésére. Mivel a vállalati biztonsági szűrők megbíznak bennük, vonzó eszközt jelentenek a támadók számára, akik bele akarnak olvadni a normál hálózati forgalomba. A VENOMOUS#HELPER teljes mértékben kihasználja ezt a bizalmat.

A támadási lánc adathalász e-mailekkel kezdődik, amelyek az áldozatokat kompromittált üzleti weboldalakra irányítják. Valódi, korábban legitim domainek használata segíti a kampánynak az e-mail biztonsági szűrők és a webes hírnév-ellenőrzések kijátszását, amelyek ismeretlen vagy újonnan regisztrált oldalakat jelölnének meg. Amint az áldozat kapcsolatba kerül a rosszindulatú tartalommal, az RMM-szoftver csendben települ, és tartós pozíciót biztosít a támadóknak, amely túlélheti az újraindításokat, a végponti vizsgálatokat, sőt egyes biztonsági eszközök telepítését is.

Hogyan válik az RMM-szoftver kockázattá

A VENOMOUS#HELPER által feltárt alapvető probléma nem az, hogy a SimpleHelp vagy a ScreenConnect önmagában nem biztonságos. Ezek megbízható termékek, amelyeket ezrek legitim informatikai csapatok használnak naponta. A probléma az, hogy a támadók rájöttek, hogyan lehet fegyverként használni pontosan azokat a funkciókat, amelyek ezeket az eszközöket hasznosakká teszik: a könnyűsúlyú telepítést, a tartós kapcsolatot és a hálózaton való áthelyezkedési képességet.

A telepítés után az RMM-ügynökök általában szabványos webes portokon keresztül kommunikálnak kifelé, amelyeket sok tűzfal alapértelmezés szerint engedélyez. Ez azt jelenti, hogy egy rosszindulatú RMM-munkamenetet irányító támadó oldalirányban mozoghat a szomszédos rendszerekre, adatokat szűrhet ki, vagy további kártevőket telepíthet – mindezt úgy, hogy a hálózatfelügyeleti irányítópultokon rutinszerű informatikai tevékenységnek tűnik.

A kompromittált harmadik fél webhelyeinek kézbesítési mechanizmusként való használata további nehézséget jelent a védők számára. A hagyományos kompromittálási mutatók – mint az ismeretlen domainek vagy aláíratlan futtatható fájlok megjelölése – kevésbé hatékonyak, ha a hasznos adat egy olyan oldalról érkezik, amelyet a biztonsági eszközök már jóindulatúnak minősítettek.

Mit jelent ez az Ön számára

Egyének számára – különösen azok számára, akik távolról vagy hibrid környezetben dolgoznak – ez a kampány emlékeztetőül szolgál arra, hogy a munkáltató által az eszközök kezelésére használt szoftver valós kockázatot hordoz, ha nem megfelelően irányítják. Az RMM-eszközök általában emelt szintű jogosultságokkal futnak. Ha egy támadó megszerzi az irányítást ezen a csatornán keresztül, széles hozzáférése van a gépéhez, és potenciálisan a rajta lévő fájlokhoz és hitelesítő adatokhoz is.

Ez nem ok a pánikra, de ok arra, hogy kérdéseket tegyen fel. Az alkalmazottaknak jogos érdekük fűződik ahhoz, hogy tudják, milyen távelérési szoftver van telepítve az eszközeiken, kinek van lehetősége munkamenetet kezdeményezni, és hogy ezek a munkamenetek naplózottak és auditálhatók-e. A felelős munkáltatóknak mindhárom kérdésre egyértelműen kell tudniuk válaszolni.

Szervezetek számára a VENOMOUS#HELPER szemlélteti, miért fontos a zero-trust elvek gyakorlati alkalmazása. A zero-trust architektúra nem feltételezi, hogy egy megbízható eszközből vagy ismert IP-címről érkező forgalom automatikusan biztonságos. Minden munkamenetet, minden hozzáférési kérést és minden oldalirányú kapcsolatot ellenőriznek. A többtényezős hitelesítéssel és hálózati szegmentálással kombinálva ez a megközelítés jelentősen korlátozza, hogy egy támadó mit tehet, még akkor is, ha már megszerezte az első pozíciót.

A VPN-használat a vállalati hálózaton belül szintén szerepet játszik. A távoli dolgozók és a belső erőforrások közötti titkosított alagutak csökkentik az érzékeny forgalom lehallgatásnak való kitettségét, és egységes hitelesítési ellenőrzőpontot hoznak létre, amelyet az RMM-alapú támadóknak le kellene küzdeniük.

Gyakorlatias következtetések

Akár egyéni alkalmazott, akár szervezeti biztonságért felelős személy, a VENOMOUS#HELPER által feltárt tanulságokra reagálva konkrét lépések megtehetők.

Egyének számára:

  • Kérdezze meg az informatikai részlegtől, milyen RMM-szoftver van telepítve a munkaeszközeire, és kérjen írásos szabályzatot arról, hogyan kezdeményeznek és naplóznak távelérési munkameneteket.
  • Legyen óvatos az olyan e-mailekkel, amelyek külső weboldalakra irányítják, még akkor is, ha ismerősnek vagy professzionálisnak tűnnek.
  • Jelentsen mindent, ami szoftvert telepít vagy emelt szintű engedélyeket kér anélkül, hogy Ön azt előzetesen egyértelműen kérte volna.

Szervezetek számára:

  • Auditálja az összes telepített RMM-eszközt, és gondoskodjon arról, hogy csak ismert konfigurációjú, engedélyezett verziók legyenek jelen a végpontokon.
  • Akadályozza meg, hogy az RMM-szoftver az Ön jóváhagyott szállítói infrastruktúráján kívüli szerverekkel kommunikáljon.
  • Vezessen be alkalmazás-engedélyezési listát a jogosulatlan RMM-ügynökök futtatásának megakadályozása érdekében.
  • Kezelje az adathalász szimulációkat folyamatos programként, nem egyszeri gyakorlatként – különösen a külső szállítókkal dolgozó alkalmazottak esetében.

A VENOMOUS#HELPER hasznos esettanulmány arról, hogyan alkalmazkodnak a támadók a modern informatikai környezethez. Ahelyett, hogy közvetlenül harcolnának a biztonsági eszközök ellen, megtalálják a módját, hogy megbízható szoftvereket használjanak fedezékül. A legjobb védelem réteges: szkeptikus felhasználók, szigorú hálózati szabályzatok és olyan biztonsági architektúrák, amelyek feltételezik, hogy a kompromittálás mindig lehetséges.