Фишинговая кампания VENOMOUS#HELPER атакует более 80 организаций США с помощью инструментов RMM

Фишинговая кампания, скрывающаяся на виду

Изощрённая фишинговая кампания под названием VENOMOUS#HELPER скомпрометировала более 80 организаций по всей территории Соединённых Штатов, и особую тревогу вызывает не то, какие инструменты создали злоумышленники, а то, какие они позаимствовали. Кампания эксплуатирует легитимное программное обеспечение для удалённого мониторинга и управления (RMM) — в частности, SimpleHelp и ScreenConnect — для установки устойчивого удалённого доступа внутри сетей жертв.

Инструменты RMM широко используются ИТ-отделами и поставщиками управляемых услуг для удалённой диагностики, обновления и управления конечными точками. Поскольку корпоративные фильтры безопасности доверяют им, они представляют собой привлекательный вектор для злоумышленников, стремящихся слиться с обычным сетевым трафиком. VENOMOUS#HELPER в полной мере использует это доверие.

Цепочка атаки начинается с фишинговых писем, направляющих жертв на скомпрометированные корпоративные сайты. Использование реальных, ранее легитимных доменов позволяет кампании обходить фильтры безопасности электронной почты и проверки репутации веб-ресурсов, которые блокировали бы неизвестные или недавно зарегистрированные сайты. Как только жертва взаимодействует с вредоносным контентом, программное обеспечение RMM устанавливается незаметно, обеспечивая злоумышленникам устойчивое присутствие, способное пережить перезагрузки, сканирование конечных точек и даже развёртывание ряда инструментов безопасности.

Как программное обеспечение RMM становится источником уязвимости

Ключевая проблема, обнажённая кампанией VENOMOUS#HELPER, заключается не в том, что SimpleHelp или ScreenConnect изначально небезопасны. Это авторитетные продукты, которые ежедневно используют тысячи легитимных ИТ-команд. Проблема в том, что злоумышленники научились превращать в оружие именно те функции, которые делают эти инструменты полезными: лёгкую установку, устойчивое подключение и возможность перемещаться по сети.

После установки агенты RMM, как правило, осуществляют исходящую связь через стандартные веб-порты, которые многие межсетевые экраны по умолчанию разрешают. Это означает, что злоумышленник, управляющий несанкционированным сеансом RMM, может перемещаться в смежные системы, похищать данные или устанавливать дополнительное вредоносное ПО — и всё это выглядит как обычная деятельность ИТ-службы на панелях мониторинга сети.

Использование скомпрометированных сторонних веб-сайтов в качестве механизма доставки создаёт для защитников дополнительный уровень сложности. Традиционные индикаторы компрометации — такие как блокировка неизвестных доменов или неподписанных исполняемых файлов — менее эффективны, когда полезная нагрузка поступает с сайта, который инструменты безопасности уже классифицировали как безопасный.

Что это означает для вас

Для частных лиц — особенно работающих удалённо или в гибридном режиме — эта кампания служит напоминанием о том, что программное обеспечение, которое ваш работодатель использует для управления рабочим устройством, несёт реальный риск при ненадлежащем контроле. Инструменты RMM, как правило, работают с повышенными привилегиями. Если злоумышленник получает контроль над этим каналом, он получает широкий доступ к вашему устройству, а потенциально — к файлам и учётным данным на нём.

Это не повод для паники, но это повод задать вопросы. Сотрудники имеют законный интерес знать, какое программное обеспечение для удалённого доступа установлено на их устройствах, кто имеет право инициировать сеанс и ведётся ли журнал таких сеансов с возможностью аудита. Ответственные работодатели должны быть способны чётко ответить на все три вопроса.

Для организаций VENOMOUS#HELPER наглядно демонстрирует, почему принципы нулевого доверия важны на практике. Архитектура нулевого доверия не предполагает, что трафик, исходящий от доверенного инструмента или известного IP-адреса, автоматически безопасен. Каждый сеанс, каждый запрос на доступ и каждое боковое соединение проверяются. В сочетании с многофакторной аутентификацией и сегментацией сети такой подход существенно ограничивает возможности злоумышленника даже после получения первоначального присутствия в системе.

Использование VPN внутри корпоративной сети также играет здесь важную роль. Зашифрованные туннели между удалёнными сотрудниками и внутренними ресурсами снижают риск перехвата конфиденциального трафика и создают единую точку аутентификации, которую злоумышленникам, использующим RMM, пришлось бы преодолевать.

Практические рекомендации

Независимо от того, являетесь ли вы рядовым сотрудником или отвечаете за безопасность организации, существуют конкретные шаги, которые стоит предпринять в ответ на то, что обнажила кампания VENOMOUS#HELPER.

Для частных лиц:

• Уточните у своего ИТ-отдела, какое программное обеспечение RMM установлено на ваших рабочих устройствах, и запросите письменную политику, регламентирующую инициирование и журналирование удалённых сеансов.
• Проявляйте осторожность в отношении писем, направляющих вас на внешние веб-сайты, даже если они выглядят знакомо или профессионально.
• Сообщайте о любых случаях установки программного обеспечения или запросов на повышение привилегий, которые вы не инициировали заранее.

Для организаций:

• Проведите аудит всех развёрнутых инструментов RMM и убедитесь, что на конечных точках присутствуют только авторизованные версии с известными конфигурациями.
• Ограничьте возможность программного обеспечения RMM обмениваться данными с любым сервером за пределами одобренной вами инфраструктуры поставщика.
• Внедрите белые списки приложений для предотвращения запуска несанкционированных агентов RMM.
• Рассматривайте симуляции фишинговых атак как непрерывную программу, а не разовое мероприятие — особенно для сотрудников, работающих с внешними поставщиками.

VENOMOUS#HELPER — поучительный пример того, как злоумышленники адаптируются к современной ИТ-среде. Вместо того чтобы напрямую противостоять инструментам безопасности, они находят способы использовать доверенное программное обеспечение в качестве прикрытия. Лучшая защита — многоуровневая: скептически настроенные пользователи, строгие сетевые политики и архитектуры безопасности, изначально исходящие из того, что компрометация всегда возможна.