VENOMOUS#HELPER Kimlik Avı Kampanyası RMM Araçlarıyla 80'den Fazla ABD Kuruluşunu Hedef Aldı

Göz Önünde Saklanan Bir Kimlik Avı Kampanyası

VENOMOUS#HELPER olarak bilinen sofistike bir kimlik avı kampanyası, Amerika Birleşik Devletleri genelinde 80'den fazla kuruluşu ele geçirdi ve bunu özellikle endişe verici kılan şey, saldırganların kendi inşa ettikleri araçlar değil, ödünç aldıkları araçlar. Kampanya, kurban ağları içinde kalıcı uzaktan erişim sağlamak amacıyla özellikle SimpleHelp ve ScreenConnect olmak üzere meşru Uzaktan İzleme ve Yönetim (RMM) yazılımlarını istismar ediyor.

RMM araçları, BT departmanları ve yönetilen hizmet sağlayıcıları tarafından uç noktaları uzaktan teşhis etmek, güncellemek ve yönetmek için yaygın biçimde kullanılmaktadır. Kurumsal güvenlik filtreleri tarafından güvenilir kabul edildikleri için, normal ağ trafiğiyle karışmak isteyen saldırganlar açısından cazip bir araç haline gelmektedirler. VENOMOUS#HELPER bu güvenden sonuna kadar yararlanmaktadır.

Saldırı zinciri, kurbanları ele geçirilmiş ticari web sitelerine yönlendiren kimlik avı e-postalarıyla başlıyor. Gerçek, daha önce meşru olan alan adlarının kullanılması, kampanyanın bilinmeyen veya yeni kaydedilmiş siteleri işaretleyecek e-posta güvenlik filtrelerini ve web itibar denetimlerini atlatmasına yardımcı oluyor. Kurban kötü amaçlı içerikle etkileşime girdikten sonra RMM yazılımı sessizce yükleniyor ve saldırganlara yeniden başlatmalardan, uç nokta taramalarından ve hatta bazı güvenlik aracı dağıtımlarından kurtulabilen kalıcı bir dayanak noktası sağlıyor.

RMM Yazılımı Nasıl Bir Yükümlülüğe Dönüşüyor

VENOMOUS#HELPER'ın ortaya koyduğu temel sorun, SimpleHelp veya ScreenConnect'in özünde güvensiz olması değil. Bunlar, her gün binlerce meşru BT ekibi tarafından kullanılan saygın ürünlerdir. Sorun, saldırganların bu araçları kullanışlı kılan özellikleri silahlaştırmanın yolunu bulmuş olmalarıdır: hafif kurulum, kalıcı bağlantı ve ağ üzerinde hareket edebilme yeteneği.

Kurulduktan sonra RMM ajanları genellikle pek çok güvenlik duvarının varsayılan olarak izin verdiği standart web portları üzerinden giden bağlantı kurar. Bu, sahte bir RMM oturumunu kontrol eden bir saldırganın ağ izleme panolarında rutin BT faaliyeti gibi görünürken komşu sistemlere yanal olarak hareket edebileceği, veri sızdırabileceği veya ek kötü amaçlı yazılım dağıtabileceği anlamına gelir.

Ele geçirilmiş üçüncü taraf web sitelerinin teslim mekanizması olarak kullanılması, savunucular için ayrı bir güçlük katmanı ekliyor. Bilinmeyen alan adlarını veya imzasız yürütülebilir dosyaları işaretlemek gibi geleneksel uzlaşma göstergeleri, yük güvenlik araçlarının halihazırda zararsız olarak sınıflandırdığı bir siteden geldiğinde daha az etkili oluyor.

Bu Sizin İçin Ne Anlama Geliyor

Bireyler için, özellikle uzaktan veya hibrit ortamlarda çalışanlar için bu kampanya, işvereninizin iş cihazınızı yönetmek amacıyla kullandığı yazılımın, düzgün biçimde yönetilmediği takdirde gerçek bir risk taşıdığının hatırlatıcısıdır. RMM araçları genellikle yüksek ayrıcalıklarla çalışır. Bir saldırgan bu kanalın kontrolünü ele geçirirse makinenize ve potansiyel olarak üzerindeki dosyalara ve kimlik bilgilerine geniş erişim elde eder.

Bu paniğe kapılmak için bir neden değil, ancak soru sormak için bir nedendir. Çalışanların, cihazlarına hangi uzaktan erişim yazılımının yüklendiğini, kimlerin oturum başlatma yetkisine sahip olduğunu ve bu oturumların kaydedilip kaydedilmediğini ve denetlenebilir olup olmadığını bilme konusunda meşru bir çıkarı vardır. Sorumlu işverenler bu üç soruyu açıkça yanıtlayabilmelidir.

Kuruluşlar için VENOMOUS#HELPER, sıfır güven ilkelerinin pratikte neden önemli olduğunu gözler önüne sermektedir. Sıfır güven mimarisi, güvenilir bir araçtan veya bilinen bir IP adresinden gelen trafiğin otomatik olarak güvenli olduğunu varsaymaz. Her oturum, her erişim talebi ve her yanal bağlantı doğrulanır. Çok faktörlü kimlik doğrulama ve ağ segmentasyonuyla birleştirildiğinde bu yaklaşım, bir saldırganın ilk dayanak noktasını elde etmesinin ardından bile yapabileceklerini önemli ölçüde kısıtlar.

Kurumsal ağ içinde VPN kullanımı da burada rol oynamaktadır. Uzak çalışanlar ile dahili kaynaklar arasındaki şifreli tüneller, hassas trafiğin ele geçirilmeye maruz kalmasını azaltır ve RMM tabanlı saldırganların aşması gereken tutarlı bir kimlik doğrulama kontrol noktası oluşturur.

Uygulanabilir Çıkarımlar

İster bireysel bir çalışan olun ister kurumsal güvenlikten sorumlu olun, VENOMOUS#HELPER'ın ortaya koyduklarına yanıt olarak atılmaya değer somut adımlar mevcuttur.

Bireyler için:

• BT departmanınıza iş cihazlarınızda hangi RMM yazılımının yüklü olduğunu sorun ve uzak oturumların nasıl başlatıldığına ve kaydedildiğine dair yazılı bir politika talep edin.
• Tanıdık veya profesyonel görünseler bile sizi harici web sitelerine yönlendiren e-postalara karşı dikkatli olun.
• Sizden önceden açık bir talep gelmeksizin yazılım yükleyen veya yükseltilmiş izinler isteyen her şeyi bildirin.

Kuruluşlar için:

• Dağıtılan tüm RMM araçlarını denetleyin ve uç noktalarda yalnızca bilinen yapılandırmalara sahip yetkili sürümlerin bulunduğundan emin olun.
• RMM yazılımının onaylı satıcı altyapınızın dışındaki herhangi bir sunucuyla iletişim kurmasını kısıtlayın.
• Yetkisiz RMM ajanlarının çalışmasını önlemek için uygulama izin listesi oluşturun.
• Özellikle harici satıcılarla çalışan çalışanlar için kimlik avı simülasyonlarını tek seferlik bir egzersiz değil, sürekli bir program olarak değerlendirin.

VENOMOUS#HELPER, saldırganların modern BT ortamına nasıl uyum sağladığını gösteren yararlı bir örnek olaydır. Güvenlik araçlarıyla doğrudan mücadele etmek yerine güvenilir yazılımları örtü olarak kullanmanın yollarını buluyorlar. En iyi savunma katmanlı bir savunmadır: şüpheci kullanıcılar, katı ağ politikaları ve uzlaşmanın her zaman mümkün olduğunu varsayan güvenlik mimarileri.