Kampanye Phishing yang Bersembunyi di Balik Kepercayaan

Kampanye phishing canggih yang dikenal sebagai VENOMOUS#HELPER telah mengkompromikan lebih dari 80 organisasi di seluruh Amerika Serikat, dan yang membuatnya sangat mengkhawatirkan bukan alat yang dibangun oleh para penyerang, melainkan alat yang mereka pinjam. Kampanye ini mengeksploitasi perangkat lunak Remote Monitoring and Management (RMM) yang sah, khususnya SimpleHelp dan ScreenConnect, untuk membangun akses jarak jauh yang persisten di dalam jaringan korban.

Alat RMM banyak digunakan oleh departemen IT dan penyedia layanan terkelola untuk mendiagnosis, memperbarui, dan mengelola endpoint dari jarak jauh. Karena alat-alat ini dipercaya oleh filter keamanan perusahaan, mereka menjadi sarana yang menarik bagi penyerang yang ingin menyamarkan diri di antara lalu lintas jaringan yang normal. VENOMOUS#HELPER memanfaatkan kepercayaan ini sepenuhnya.

Rantai serangan dimulai dengan email phishing yang mengarahkan korban ke situs web bisnis yang telah dikompromikan. Penggunaan domain nyata yang sebelumnya sah membantu kampanye ini menghindari filter keamanan email dan pemeriksaan reputasi web yang akan menandai situs yang tidak dikenal atau baru saja terdaftar. Setelah korban berinteraksi dengan konten berbahaya tersebut, perangkat lunak RMM dipasang secara diam-diam, memberikan penyerang pijakan persisten yang dapat bertahan meski perangkat di-restart, dipindai oleh endpoint, bahkan setelah sebagian alat keamanan diterapkan.

Bagaimana Perangkat Lunak RMM Menjadi Celah Keamanan

Masalah inti yang diungkap oleh VENOMOUS#HELPER bukan berarti SimpleHelp atau ScreenConnect pada dasarnya tidak aman. Keduanya adalah produk terpercaya yang digunakan oleh ribuan tim IT yang sah setiap harinya. Masalahnya adalah para penyerang telah menemukan cara untuk mempersenjatai fitur-fitur yang justru membuat alat-alat ini berguna: instalasi ringan, konektivitas persisten, dan kemampuan untuk berpindah antar jaringan.

Setelah dipasang, agen RMM biasanya berkomunikasi keluar melalui port web standar yang diizinkan oleh banyak firewall secara default. Ini berarti penyerang yang mengendalikan sesi RMM nakal dapat bergerak secara lateral ke sistem yang berdekatan, mengeksfiltrasi data, atau menyebarkan malware tambahan, semuanya sambil tampak sebagai aktivitas IT rutin di dasbor pemantauan jaringan.

Penggunaan situs web pihak ketiga yang telah dikompromikan sebagai mekanisme pengiriman menambah lapisan kesulitan lain bagi para pembela. Indikator kompromi tradisional, seperti penandaan domain yang tidak dikenal atau executable yang tidak ditandatangani, menjadi kurang efektif ketika muatan berbahaya datang dari situs yang telah diklasifikasikan sebagai aman oleh alat keamanan.

Apa Artinya Ini Bagi Anda

Bagi individu, terutama mereka yang bekerja dari jarak jauh atau dalam lingkungan hibrida, kampanye ini adalah pengingat bahwa perangkat lunak yang digunakan perusahaan Anda untuk mengelola perangkat kerja Anda membawa risiko nyata jika tidak dikelola dengan baik. Alat RMM biasanya berjalan dengan hak istimewa yang tinggi. Jika penyerang mendapatkan kendali atas saluran tersebut, mereka memiliki akses luas ke perangkat Anda dan berpotensi ke file serta kredensial di dalamnya.

Ini bukan alasan untuk panik, tetapi merupakan alasan untuk mengajukan pertanyaan. Karyawan memiliki kepentingan yang sah untuk mengetahui perangkat lunak akses jarak jauh apa yang terpasang di perangkat mereka, siapa yang memiliki kemampuan untuk memulai sesi, dan apakah sesi tersebut dicatat dan dapat diaudit. Pemberi kerja yang bertanggung jawab seharusnya dapat menjawab ketiga pertanyaan tersebut dengan jelas.

Bagi organisasi, VENOMOUS#HELPER menggambarkan mengapa prinsip zero-trust penting dalam praktiknya. Arsitektur zero-trust tidak mengasumsikan bahwa lalu lintas yang berasal dari alat tepercaya atau alamat IP yang dikenal secara otomatis aman. Setiap sesi, setiap permintaan akses, dan setiap koneksi lateral diverifikasi. Dikombinasikan dengan autentikasi multi-faktor dan segmentasi jaringan, pendekatan ini secara signifikan membatasi apa yang dapat dilakukan penyerang bahkan setelah mereka mendapatkan pijakan awal.

Penggunaan VPN dalam jaringan perusahaan juga berperan di sini. Terowongan terenkripsi antara pekerja jarak jauh dan sumber daya internal mengurangi paparan lalu lintas sensitif terhadap penyadapan, dan menciptakan titik pemeriksaan autentikasi yang konsisten yang harus diatasi oleh penyerang berbasis RMM.

Langkah-Langkah yang Dapat Diambil

Baik Anda seorang karyawan individu maupun penanggung jawab keamanan organisasi, ada langkah-langkah konkret yang patut diambil sebagai respons terhadap apa yang diungkapkan oleh VENOMOUS#HELPER.

Bagi individu:

  • Tanyakan kepada departemen IT Anda perangkat lunak RMM apa yang terpasang di perangkat kerja Anda dan minta kebijakan tertulis tentang bagaimana sesi jarak jauh dimulai dan dicatat.
  • Berhati-hatilah dengan email yang mengarahkan Anda ke situs web eksternal, bahkan yang tampak familiar atau profesional.
  • Laporkan apa pun yang memasang perangkat lunak atau meminta izin yang ditinggikan tanpa permintaan jelas dari Anda sebelumnya.

Bagi organisasi:

  • Audit semua alat RMM yang diterapkan dan pastikan hanya versi yang diotorisasi dengan konfigurasi yang diketahui yang ada di endpoint.
  • Batasi perangkat lunak RMM agar tidak berkomunikasi dengan server mana pun di luar infrastruktur vendor yang Anda setujui.
  • Terapkan daftar izin aplikasi untuk mencegah agen RMM yang tidak sah agar tidak dapat dijalankan.
  • Perlakukan simulasi phishing sebagai program berkelanjutan, bukan latihan satu kali, terutama bagi karyawan yang bekerja dengan vendor eksternal.

VENOMOUS#HELPER adalah studi kasus yang berguna tentang bagaimana penyerang beradaptasi dengan lingkungan IT modern. Alih-alih melawan alat keamanan secara langsung, mereka menemukan cara untuk menggunakan perangkat lunak tepercaya sebagai kedok. Pertahanan terbaik adalah berlapis: pengguna yang skeptis, kebijakan jaringan yang ketat, dan arsitektur keamanan yang mengasumsikan bahwa kompromi selalu mungkin terjadi.