Фішингова кампанія VENOMOUS#HELPER вразила понад 80 організацій у США за допомогою RMM-інструментів

Фішингова кампанія, що ховається на виду

Витончена фішингова кампанія під назвою VENOMOUS#HELPER скомпрометувала понад 80 організацій по всій території Сполучених Штатів, і особливу тривогу викликає не те, які інструменти створили зловмисники, а ті, якими вони скористалися. Кампанія експлуатує легітимне програмне забезпечення для дистанційного моніторингу та управління (RMM) — зокрема SimpleHelp і ScreenConnect — щоб закріпитися у мережах жертв і зберігати постійний віддалений доступ.

RMM-інструменти широко використовуються ІТ-відділами та постачальниками керованих послуг для віддаленої діагностики, оновлення та адміністрування кінцевих точок. Оскільки корпоративні засоби безпеки їм довіряють, вони є привабливим вектором для зловмисників, які прагнуть злитися зі звичайним мережевим трафіком. VENOMOUS#HELPER повною мірою використовує цю довіру.

Ланцюжок атаки починається з фішингових листів, що спрямовують жертв на скомпрометовані бізнес-сайти. Використання реальних, раніше легітимних доменів допомагає кампанії обходити поштові фільтри безпеки та перевірки репутації вебсайтів, які позначали б невідомі або щойно зареєстровані ресурси. Щойно жертва взаємодіє зі шкідливим вмістом, RMM-програмне забезпечення непомітно встановлюється, забезпечуючи зловмисникам стійку точку опори, яка витримує перезавантаження, сканування кінцевих точок і навіть розгортання деяких засобів безпеки.

Як RMM-програмне забезпечення стає вразливістю

Головна проблема, яку розкриває VENOMOUS#HELPER, полягає не в тому, що SimpleHelp або ScreenConnect є небезпечними за своєю суттю. Це авторитетні продукти, якими щодня користуються тисячі легітимних ІТ-команд. Проблема в тому, що зловмисники навчилися перетворювати на зброю саме ті функції, які роблять ці інструменти корисними: легке встановлення, стійке підключення та можливість переміщатися мережею.

Після встановлення RMM-агенти, як правило, здійснюють вихідний зв'язок через стандартні вебпорти, які більшість брандмауерів дозволяють за замовчуванням. Це означає, що зловмисник, який контролює підроблений RMM-сеанс, може переміщатися на суміжні системи, викрадати дані або розгортати додаткове шкідливе програмне забезпечення — і все це виглядатиме як звичайна ІТ-активність на панелях моніторингу мережі.

Використання скомпрометованих сторонніх вебсайтів як механізму доставки додає ще один рівень складності для захисників. Традиційні індикатори компрометації — наприклад, позначення невідомих доменів або непідписаних виконуваних файлів — менш ефективні, коли корисне навантаження надходить із сайту, який засоби безпеки вже класифікували як безпечний.

Що це означає для вас

Для окремих користувачів — особливо тих, хто працює дистанційно або в гібридному режимі — ця кампанія є нагадуванням про те, що програмне забезпечення, яке ваш роботодавець використовує для управління вашим робочим пристроєм, несе реальний ризик за відсутності належного контролю. RMM-інструменти, як правило, працюють із підвищеними привілеями. Якщо зловмисник отримає контроль над цим каналом, він матиме широкий доступ до вашого комп'ютера, а також потенційно до файлів і облікових даних на ньому.

Це не привід для паніки, але цілком достатня підстава ставити запитання. Працівники мають законне право знати, яке програмне забезпечення для віддаленого доступу встановлено на їхніх пристроях, хто може ініціювати сеанс і чи фіксуються та чи доступні для аудиту ці сеанси. Відповідальні роботодавці повинні вміти чітко відповісти на всі три запитання.

Для організацій VENOMOUS#HELPER наочно демонструє, чому принципи нульової довіри мають практичне значення. Архітектура нульової довіри не вважає трафік, що надходить від довіреного інструменту або відомої IP-адреси, автоматично безпечним. Кожен сеанс, кожен запит на доступ і кожне бічне з'єднання перевіряється. У поєднанні з багатофакторною автентифікацією та сегментацією мережі такий підхід суттєво обмежує можливості зловмисника навіть після того, як він отримав початкову точку опори.

Використання VPN у корпоративній мережі також відіграє тут свою роль. Зашифровані тунелі між віддаленими працівниками та внутрішніми ресурсами зменшують ризик перехоплення конфіденційного трафіку і створюють послідовний контрольний пункт автентифікації, який зловмисники, що діють через RMM, мали б подолати.

Практичні висновки

Незалежно від того, чи є ви рядовим працівником, чи відповідаєте за безпеку організації, є конкретні кроки, які варто зробити у відповідь на те, що розкриває VENOMOUS#HELPER.

Для окремих користувачів:

• Запитайте в ІТ-відділі, яке RMM-програмне забезпечення встановлено на ваших робочих пристроях, і попросіть надати письмову політику щодо того, як ініціюються та реєструються сеанси віддаленого доступу.
• Будьте обережні з листами, що спрямовують вас на зовнішні вебсайти, навіть якщо вони виглядають знайомими або професійними.
• Повідомляйте про будь-що, що встановлює програмне забезпечення або запитує підвищені права без чіткого попереднього запиту з вашого боку.

Для організацій:

• Проведіть аудит усіх розгорнутих RMM-інструментів і переконайтеся, що на кінцевих точках присутні лише авторизовані версії з відомими конфігураціями.
• Обмежте зв'язок RMM-програмного забезпечення з будь-яким сервером поза межами затвердженої інфраструктури вашого постачальника.
• Запровадьте списки дозволених застосунків, щоб запобігти виконанню несанкціонованих RMM-агентів.
• Розглядайте симуляції фішингу як безперервну програму, а не разову вправу, — особливо для працівників, які взаємодіють із зовнішніми постачальниками.

VENOMOUS#HELPER є корисним прикладом того, як зловмисники пристосовуються до сучасного ІТ-середовища. Замість того щоб протистояти засобам безпеки в лоб, вони знаходять способи використовувати довірене програмне забезпечення як прикриття. Найкращий захист є багаторівневим: скептично налаштовані користувачі, сувора мережева політика та архітектури безпеки, які виходять із того, що компрометація завжди можлива.