Campania de Phishing VENOMOUS#HELPER Vizează Peste 80 de Organizații din SUA prin Instrumente RMM

O Campanie de Phishing Care se Ascunde la Vedere

O campanie sofisticată de phishing cunoscută sub numele de VENOMOUS#HELPER a compromis mai mult de 80 de organizații din Statele Unite, iar ceea ce o face deosebit de alarmantă nu sunt instrumentele pe care atacatorii le-au construit, ci cele pe care le-au împrumutat. Campania exploatează software legitim de tip Remote Monitoring and Management (RMM), în special SimpleHelp și ScreenConnect, pentru a stabili acces remote persistent în rețelele victimelor.

Instrumentele RMM sunt utilizate pe scară largă de departamentele IT și furnizorii de servicii gestionate pentru a diagnostica, actualiza și administra de la distanță punctele terminale. Deoarece sunt considerate de încredere de filtrele de securitate corporativă, reprezintă un vehicul atractiv pentru atacatorii care doresc să se camufleze în traficul normal de rețea. VENOMOUS#HELPER exploatează din plin această încredere.

Lanțul de atac începe cu e-mailuri de phishing care direcționează victimele către site-uri de afaceri compromise. Utilizarea unor domenii reale, anterior legitime, ajută campania să eludeze filtrele de securitate ale e-mailurilor și verificările reputației web care ar semnala site-urile necunoscute sau înregistrate recent. Odată ce o victimă interacționează cu conținutul malițios, software-ul RMM este instalat în tăcere, oferind atacatorilor un punct de acces persistent care poate supraviețui repornirilor, scanărilor de endpoint și chiar unor implementări de instrumente de securitate.

Cum Devine Software-ul RMM o Vulnerabilitate

Problema fundamentală expusă de VENOMOUS#HELPER nu este că SimpleHelp sau ScreenConnect sunt în mod inerent nesigure. Acestea sunt produse reputabile utilizate zilnic de mii de echipe IT legitime. Problema constă în faptul că atacatorii au descoperit cum să armeze exact funcționalitățile care fac aceste instrumente utile: instalare ușoară, conectivitate persistentă și capacitatea de a pivota în cadrul unei rețele.

Odată instalați, agenții RMM comunică de obicei în ieșire prin porturile web standard, pe care multe firewall-uri le permit implicit. Aceasta înseamnă că un atacator care controlează o sesiune RMM neautorizată poate efectua mișcări laterale către sisteme adiacente, poate exfiltra date sau poate implementa programe malware suplimentare, totul părând a fi activitate IT de rutină pe tablourile de bord de monitorizare a rețelei.

Utilizarea unor site-uri web terțe compromise ca mecanism de livrare adaugă un alt nivel de dificultate pentru apărători. Indicatorii tradiționali de compromitere, cum ar fi semnalarea domeniilor necunoscute sau a executabilelor nesemnate, sunt mai puțin eficienți atunci când payload-ul provine de pe un site pe care instrumentele de securitate l-au clasificat deja ca benign.

Ce Înseamnă Acest Lucru Pentru Dvs.

Pentru persoanele fizice, în special cele care lucrează de la distanță sau în medii hibride, această campanie este un memento că software-ul pe care angajatorul dvs. îl utilizează pentru a gestiona dispozitivul de lucru prezintă un risc real dacă nu este guvernat corespunzător. Instrumentele RMM rulează de obicei cu privilegii ridicate. Dacă un atacator obține controlul acelui canal, acesta are acces larg la mașina dvs. și, potențial, la fișierele și credențialele de pe aceasta.

Acesta nu este un motiv de panică, dar este un motiv să puneți întrebări. Angajații au un interes legitim de a ști ce software de acces remote este instalat pe dispozitivele lor, cine are capacitatea de a iniția o sesiune și dacă acele sesiuni sunt înregistrate și auditabile. Angajatorii responsabili ar trebui să poată răspunde clar la toate cele trei întrebări.

Pentru organizații, VENOMOUS#HELPER ilustrează de ce principiile zero-trust contează în practică. O arhitectură zero-trust nu presupune că traficul provenit dintr-un instrument de încredere sau de la o adresă IP cunoscută este automat sigur. Fiecare sesiune, fiecare solicitare de acces și fiecare conexiune laterală este verificată. Combinată cu autentificarea multi-factor și segmentarea rețelei, această abordare limitează semnificativ ceea ce poate face un atacator chiar și după ce a obținut un punct de acces inițial.

Utilizarea VPN în cadrul unei rețele corporative joacă și ea un rol important aici. Tunelurile criptate dintre lucrătorii de la distanță și resursele interne reduc expunerea traficului sensibil la interceptare și creează un punct de control al autentificării consistent pe care atacatorii bazați pe RMM ar trebui să îl depășească.

Măsuri Concrete de Luat

Indiferent dacă ești un angajat individual sau ești responsabil de securitatea organizației, există pași concreți care merită adoptați ca răspuns la ceea ce dezvăluie VENOMOUS#HELPER.

Pentru persoane fizice:

• Întrebați departamentul IT ce software RMM este instalat pe dispozitivele dvs. de lucru și solicitați o politică scrisă privind modul în care sesiunile remote sunt inițiate și înregistrate.
• Fiți precaut cu e-mailurile care vă direcționează către site-uri web externe, chiar și cele care par familiare sau profesionale.
• Raportați orice situație în care se instalează software sau se solicită permisiuni ridicate fără o solicitare prealabilă clară din partea dvs.

Pentru organizații:

• Auditați toate instrumentele RMM implementate și asigurați-vă că pe endpoint-uri există doar versiuni autorizate cu configurații cunoscute.
• Restricționați software-ul RMM de la comunicarea cu orice server din afara infrastructurii furnizorului dvs. aprobat.
• Implementați liste de aplicații permise pentru a preveni executarea agenților RMM neautorizați.
• Tratați simulările de phishing ca pe un program continuu, nu ca pe un exercițiu unic, în special pentru angajații care lucrează cu furnizori externi.

VENOMOUS#HELPER este un studiu de caz util despre modul în care atacatorii se adaptează la mediul IT modern. În loc să lupte direct împotriva instrumentelor de securitate, găsesc modalități de a folosi software-ul de încredere drept acoperire. Cea mai bună apărare este una stratificată: utilizatori sceptici, politici stricte de rețea și arhitecturi de securitate care presupun că o compromitere este întotdeauna posibilă.