แคมเปญฟิชชิงที่ซ่อนตัวอยู่ในสายตาทุกคน
แคมเปญฟิชชิงที่ซับซ้อนในชื่อ VENOMOUS#HELPER ได้เจาะระบบองค์กรในสหรัฐอเมริกามากกว่า 80 แห่ง และสิ่งที่น่าวิตกกังวลเป็นพิเศษไม่ใช่เครื่องมือที่ผู้โจมตีสร้างขึ้นเอง แต่เป็นเครื่องมือที่พวกเขายืมมาใช้ แคมเปญนี้ใช้ประโยชน์จากซอฟต์แวร์ Remote Monitoring and Management (RMM) ที่ถูกกฎหมาย โดยเฉพาะ SimpleHelp และ ScreenConnect เพื่อสร้างการเข้าถึงระยะไกลอย่างถาวรภายในเครือข่ายของเหยื่อ
เครื่องมือ RMM ถูกใช้งานอย่างแพร่หลายโดยฝ่ายไอทีและผู้ให้บริการจัดการระบบ เพื่อวินิจฉัย อัปเดต และจัดการอุปกรณ์ปลายทางจากระยะไกล เนื่องจากเครื่องมือเหล่านี้ได้รับความไว้วางใจจากตัวกรองความปลอดภัยขององค์กร จึงกลายเป็นช่องทางที่น่าดึงดูดสำหรับผู้โจมตีที่ต้องการกลมกลืนไปกับการรับส่งข้อมูลเครือข่ายตามปกติ VENOMOUS#HELPER ใช้ประโยชน์จากความไว้วางใจนี้อย่างเต็มที่
ห่วงโซ่การโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่นำเหยื่อไปยังเว็บไซต์ธุรกิจที่ถูกเจาะระบบ การใช้โดเมนจริงที่เคยถูกกฎหมายมาก่อนช่วยให้แคมเปญหลีกเลี่ยงตัวกรองความปลอดภัยของอีเมลและการตรวจสอบชื่อเสียงเว็บที่จะตั้งธงกับไซต์ที่ไม่รู้จักหรือจดทะเบียนใหม่ เมื่อเหยื่อโต้ตอบกับเนื้อหาที่เป็นอันตราย ซอฟต์แวร์ RMM จะถูกติดตั้งอย่างเงียบๆ ทำให้ผู้โจมตีได้รับที่มั่นถาวรที่สามารถอยู่รอดได้แม้จะรีบูตเครื่อง สแกนอุปกรณ์ปลายทาง และแม้แต่การใช้งานเครื่องมือรักษาความปลอดภัยบางอย่าง
เมื่อซอฟต์แวร์ RMM กลายเป็นความเสี่ยง
ปัญหาหลักที่ VENOMOUS#HELPER เปิดเผยให้เห็นไม่ใช่ว่า SimpleHelp หรือ ScreenConnect มีความไม่ปลอดภัยโดยเนื้อแท้ เครื่องมือเหล่านี้เป็นผลิตภัณฑ์ที่มีชื่อเสียงซึ่งทีมไอทีที่ถูกกฎหมายนับพันใช้งานทุกวัน ปัญหาคือผู้โจมตีได้คิดหาวิธีทำให้ฟีเจอร์ที่ทำให้เครื่องมือเหล่านี้มีประโยชน์กลายเป็นอาวุธ ได้แก่ การติดตั้งที่เบา การเชื่อมต่อที่ต่อเนื่อง และความสามารถในการเคลื่อนที่ข้ามเครือข่าย
เมื่อติดตั้งแล้ว เอเจนต์ RMM มักจะสื่อสารขาออกผ่านพอร์ตเว็บมาตรฐานที่ไฟร์วอลล์จำนวนมากอนุญาตโดยค่าเริ่มต้น ซึ่งหมายความว่าผู้โจมตีที่ควบคุมเซสชัน RMM ที่ไม่ได้รับอนุญาตสามารถเคลื่อนที่ไปด้านข้างสู่ระบบที่อยู่ติดกัน ขโมยข้อมูล หรือติดตั้งมัลแวร์เพิ่มเติม ทั้งหมดนี้ในขณะที่ดูเหมือนเป็นกิจกรรมไอทีตามปกติบนแดชบอร์ดตรวจสอบเครือข่าย
การใช้เว็บไซต์บุคคลที่สามที่ถูกเจาะระบบเป็นกลไกการส่งมอบเพิ่มอีกหนึ่งชั้นของความยากสำหรับผู้ป้องกัน ตัวบ่งชี้การประนีประนอมแบบดั้งเดิม เช่น การตั้งธงกับโดเมนที่ไม่รู้จักหรือไฟล์ปฏิบัติการที่ไม่มีลายเซ็น มีประสิทธิผลน้อยลงเมื่อเพย์โหลดมาจากไซต์ที่เครื่องมือรักษาความปลอดภัยจัดประเภทว่าปลอดภัยไปแล้ว
ความหมายสำหรับคุณ
สำหรับบุคคลทั่วไป โดยเฉพาะผู้ที่ทำงานจากระยะไกลหรือในสภาพแวดล้อมแบบไฮบริด แคมเปญนี้เป็นเครื่องเตือนใจว่าซอฟต์แวร์ที่นายจ้างของคุณใช้เพื่อจัดการอุปกรณ์ทำงานของคุณมีความเสี่ยงจริงหากไม่ได้รับการกำกับดูแลอย่างเหมาะสม เครื่องมือ RMM มักทำงานด้วยสิทธิ์ระดับสูง หากผู้โจมตีควบคุมช่องทางนั้นได้ พวกเขาจะมีสิทธิ์เข้าถึงเครื่องของคุณอย่างกว้างขวาง รวมถึงไฟล์และข้อมูลรับรองตัวตนที่อยู่ในนั้น
นี่ไม่ใช่เหตุผลที่จะตื่นตระหนก แต่เป็นเหตุผลที่จะตั้งคำถาม พนักงานมีสิทธิ์อันชอบธรรมในการรับรู้ว่าซอฟต์แวร์การเข้าถึงระยะไกลใดถูกติดตั้งอยู่บนอุปกรณ์ของตน ใครมีความสามารถในการเริ่มต้นเซสชัน และเซสชันเหล่านั้นถูกบันทึกและตรวจสอบได้หรือไม่ นายจ้างที่รับผิดชอบควรสามารถตอบคำถามทั้งสามข้อได้อย่างชัดเจน
สำหรับองค์กร VENOMOUS#HELPER แสดงให้เห็นว่าเหตุใดหลักการ zero-trust จึงมีความสำคัญในทางปฏิบัติ สถาปัตยกรรม zero-trust ไม่ถือว่าการรับส่งข้อมูลที่มาจากเครื่องมือที่เชื่อถือได้หรือที่อยู่ IP ที่รู้จักนั้นปลอดภัยโดยอัตโนมัติ ทุกเซสชัน ทุกคำขอเข้าถึง และทุกการเชื่อมต่อด้านข้างจะถูกตรวจสอบ เมื่อรวมกับการยืนยันตัวตนหลายปัจจัยและการแบ่งส่วนเครือข่าย แนวทางนี้จำกัดสิ่งที่ผู้โจมตีสามารถทำได้อย่างมีนัยสำคัญแม้ว่าพวกเขาจะได้รับที่มั่นเริ่มต้นแล้วก็ตาม
การใช้ VPN ภายในเครือข่ายขององค์กรก็มีบทบาทในที่นี้เช่นกัน อุโมงค์ที่เข้ารหัสระหว่างพนักงานระยะไกลและทรัพยากรภายในช่วยลดการเปิดเผยการรับส่งข้อมูลที่ละเอียดอ่อนต่อการดักจับ และสร้างจุดตรวจสอบการยืนยันตัวตนที่สอดคล้องกันซึ่งผู้โจมตีที่ใช้ RMM จะต้องเอาชนะ
สิ่งที่ควรดำเนินการ
ไม่ว่าคุณจะเป็นพนักงานทั่วไปหรือรับผิดชอบด้านความปลอดภัยขององค์กร มีขั้นตอนที่เป็นรูปธรรมที่ควรดำเนินการเพื่อตอบสนองต่อสิ่งที่ VENOMOUS#HELPER เปิดเผย
สำหรับบุคคลทั่วไป:
- ถามฝ่ายไอทีว่ามีซอฟต์แวร์ RMM ใดติดตั้งอยู่บนอุปกรณ์ทำงานของคุณ และขอนโยบายเป็นลายลักษณ์อักษรเกี่ยวกับวิธีการเริ่มต้นและบันทึกเซสชันระยะไกล
- ระมัดระวังกับอีเมลที่นำคุณไปยังเว็บไซต์ภายนอก แม้แต่เว็บไซต์ที่ดูคุ้นเคยหรือเป็นมืออาชีพ
- รายงานสิ่งใดก็ตามที่ติดตั้งซอฟต์แวร์หรือขอสิทธิ์ระดับสูงโดยไม่มีคำขอล่วงหน้าที่ชัดเจนจากคุณ
สำหรับองค์กร:
- ตรวจสอบเครื่องมือ RMM ทั้งหมดที่ใช้งานอยู่และตรวจสอบให้แน่ใจว่ามีเฉพาะเวอร์ชันที่ได้รับอนุญาตพร้อมการกำหนดค่าที่รู้จักอยู่บนอุปกรณ์ปลายทาง
- จำกัดไม่ให้ซอฟต์แวร์ RMM สื่อสารกับเซิร์ฟเวอร์ใดๆ ที่อยู่นอกโครงสร้างพื้นฐานของผู้ให้บริการที่ได้รับอนุมัติ
- ใช้การอนุญาตรายการแอปพลิเคชันเพื่อป้องกันไม่ให้เอเจนต์ RMM ที่ไม่ได้รับอนุญาตทำงาน
- ปฏิบัติต่อการจำลองฟิชชิงในฐานะโปรแกรมต่อเนื่อง ไม่ใช่แบบฝึกหัดครั้งเดียว โดยเฉพาะอย่างยิ่งสำหรับพนักงานที่ทำงานร่วมกับผู้จำหน่ายภายนอก
VENOMOUS#HELPER เป็นกรณีศึกษาที่มีประโยชน์เกี่ยวกับวิธีที่ผู้โจมตีปรับตัวให้เข้ากับสภาพแวดล้อมไอทีสมัยใหม่ แทนที่จะต่อสู้กับเครื่องมือรักษาความปลอดภัยโดยตรง พวกเขาหาวิธีใช้ซอฟต์แวร์ที่เชื่อถือได้เป็นที่กำบัง การป้องกันที่ดีที่สุดคือการป้องกันแบบหลายชั้น ได้แก่ ผู้ใช้ที่มีความสงสัยเชิงวิพากษ์ นโยบายเครือข่ายที่เข้มงวด และสถาปัตยกรรมความปลอดภัยที่ถือว่าการถูกเจาะระบบเป็นไปได้เสมอ
