La Campagna di Phishing VENOMOUS#HELPER Colpisce Oltre 80 Organizzazioni Statunitensi tramite Strumenti RMM

Una Campagna di Phishing che si Nasconde alla Luce del Sole

Una sofisticata campagna di phishing nota come VENOMOUS#HELPER ha compromesso più di 80 organizzazioni negli Stati Uniti, e ciò che la rende particolarmente allarmante non sono gli strumenti che gli aggressori hanno costruito, ma quelli che hanno preso in prestito. La campagna sfrutta software legittimi di Remote Monitoring and Management (RMM), in particolare SimpleHelp e ScreenConnect, per stabilire un accesso remoto persistente all'interno delle reti delle vittime.

Gli strumenti RMM sono ampiamente utilizzati dai reparti IT e dai fornitori di servizi gestiti per diagnosticare, aggiornare e gestire gli endpoint da remoto. Poiché sono considerati affidabili dai filtri di sicurezza aziendali, rappresentano un veicolo attraente per gli aggressori che vogliono mimetizzarsi con il normale traffico di rete. VENOMOUS#HELPER sfrutta appieno questa fiducia.

La catena di attacco inizia con e-mail di phishing che indirizzano le vittime verso siti web aziendali compromessi. L'utilizzo di domini reali, precedentemente legittimi, aiuta la campagna a eludere i filtri di sicurezza delle e-mail e i controlli sulla reputazione web che segnalerebbero siti sconosciuti o registrati di recente. Una volta che la vittima interagisce con il contenuto malevolo, il software RMM viene installato silenziosamente, fornendo agli aggressori un punto d'appoggio persistente in grado di sopravvivere ai riavvii, alle scansioni degli endpoint e persino ad alcuni deployment di strumenti di sicurezza.

Come il Software RMM Diventa una Vulnerabilità

Il problema centrale esposto da VENOMOUS#HELPER non è che SimpleHelp o ScreenConnect siano intrinsecamente insicuri. Si tratta di prodotti affidabili utilizzati ogni giorno da migliaia di team IT legittimi. Il problema è che gli aggressori hanno trovato il modo di trasformare in arma le stesse funzionalità che rendono questi strumenti utili: installazione leggera, connettività persistente e la capacità di muoversi lateralmente all'interno di una rete.

Una volta installati, gli agenti RMM comunicano tipicamente in uscita attraverso le porte web standard, che molti firewall consentono per impostazione predefinita. Ciò significa che un aggressore che controlla una sessione RMM non autorizzata può spostarsi lateralmente verso sistemi adiacenti, esfiltrare dati o distribuire ulteriore malware, il tutto apparendo come una normale attività IT sui dashboard di monitoraggio della rete.

L'utilizzo di siti web di terze parti compromessi come meccanismo di distribuzione aggiunge un ulteriore livello di difficoltà per i difensori. Gli indicatori tradizionali di compromissione, come la segnalazione di domini sconosciuti o eseguibili non firmati, risultano meno efficaci quando il payload proviene da un sito che gli strumenti di sicurezza hanno già classificato come benigno.

Cosa Significa Questo per Te

Per i singoli individui, in particolare coloro che lavorano da remoto o in ambienti ibridi, questa campagna è un promemoria del fatto che il software utilizzato dal proprio datore di lavoro per gestire il dispositivo di lavoro comporta un rischio reale se non adeguatamente governato. Gli strumenti RMM operano tipicamente con privilegi elevati. Se un aggressore ottiene il controllo di quel canale, ha un accesso ampio alla macchina e potenzialmente ai file e alle credenziali in essa contenuti.

Questo non è un motivo per farsi prendere dal panico, ma è un motivo per fare domande. I dipendenti hanno un legittimo interesse a sapere quale software di accesso remoto è installato sui loro dispositivi, chi ha la possibilità di avviare una sessione e se tali sessioni vengono registrate e sono verificabili. I datori di lavoro responsabili dovrebbero essere in grado di rispondere chiaramente a tutte e tre le domande.

Per le organizzazioni, VENOMOUS#HELPER illustra perché i principi zero-trust contano nella pratica. Un'architettura zero-trust non presuppone che il traffico proveniente da uno strumento attendibile o da un indirizzo IP noto sia automaticamente sicuro. Ogni sessione, ogni richiesta di accesso e ogni connessione laterale viene verificata. Combinato con l'autenticazione a più fattori e la segmentazione della rete, questo approccio limita significativamente ciò che un aggressore può fare anche dopo aver ottenuto un punto d'appoggio iniziale.

Anche l'utilizzo della VPN all'interno di una rete aziendale gioca un ruolo in questo contesto. I tunnel cifrati tra i lavoratori remoti e le risorse interne riducono l'esposizione del traffico sensibile all'intercettazione e creano un punto di controllo dell'autenticazione coerente che gli aggressori basati su RMM dovrebbero necessariamente superare.

Misure Concrete da Adottare

Che siate un singolo dipendente o responsabili della sicurezza organizzativa, esistono passi concreti da intraprendere in risposta a quanto VENOMOUS#HELPER rivela.

Per i singoli individui:

• Chiedete al vostro reparto IT quale software RMM è installato sui vostri dispositivi di lavoro e richiedete una policy scritta su come le sessioni remote vengono avviate e registrate.
• Siate cauti con le e-mail che vi indirizzano verso siti web esterni, anche quelli che sembrano familiari o professionali.
• Segnalate qualsiasi cosa che installi software o richieda autorizzazioni elevate senza una vostra esplicita richiesta preventiva.

Per le organizzazioni:

• Verificate tutti gli strumenti RMM distribuiti e assicuratevi che sugli endpoint siano presenti solo versioni autorizzate con configurazioni note.
• Impedite al software RMM di comunicare con qualsiasi server al di fuori dell'infrastruttura del vostro fornitore approvato.
• Implementate l'allowlisting delle applicazioni per impedire l'esecuzione di agenti RMM non autorizzati.
• Trattate le simulazioni di phishing come un programma continuo, non come un esercizio una tantum, in particolare per i dipendenti che lavorano con fornitori esterni.

VENOMOUS#HELPER è un utile caso di studio su come gli aggressori si adattano al moderno ambiente IT. Piuttosto che combattere direttamente gli strumenti di sicurezza, trovano il modo di utilizzare software affidabili come copertura. La migliore difesa è quella a più livelli: utenti scettici, policy di rete rigide e architetture di sicurezza che presuppongono che una compromissione sia sempre possibile.