Red Canary ve Zscaler’ın yeni araştırması, kimlik avı yemlerinin şimdi Itarian ve Atera gibi RMM araçlarını düşürdüğünü ve saldırganlara kötü amaçlı yazılım ve fidye yazılımı kampanyaları için yönetici düzeyinde erişim sağladığını gösteriyor.
Kimlik avı e -postaları, genellikle yazım hataları ve garip biçimlendirme ile dolu, tespit edilmesi kolaydı. Artık böyle değil. Red Canary ve Zscaler’ın yeni araştırması, saldırganların nasıl ikna edici hale geldiğini gösteriyor, insanları sahte krom güncellemeleri, kötü niyetli ama gerçek görünümlü ekipler veya yakınlaştırma davetleri, parti e-kartları ve hatta çalışanları kandıracak kadar gerçek görünen hükümet formları ile çekiyor.
Araştırmacılara göre, uzak izleme ve yönetim (RMM) araçlarının kullanımı nedeniyle bu kampanyalar diğerlerinden farklıdır. Tipik bir kötü amaçlı yazılım parçası sunmak yerine, saldırganlar şimdi bu yemleri ITARY, PDQ, SimpleHelp ve Atera gibi RMM araçlarını kurmak için kullanıyor.
Bilgileriniz için, bu programlar BT yöneticileri tarafından sistemleri korumak için kullanılır, ancak kötü niyetli tehdit aktörleri artık bu araçları yöneticilerle aynı erişime sahip olmak için kullanıyor. Bu, ek yükler yüklemelerini veya hatta fidye yazılımı saldırıları yapmalarını sağlar.
Sahte Chrome güncellemesi
Kampanyalara baktığımızda, Red Canary ve Zscaler dört ana cazibeyi belgeledi. En yaygın olanı, tehlikeye atılan web sitelerinin ikna edici bir güncelleme istemini sunan kötü niyetli JavaScript enjekte ettiği sahte tarayıcı güncellemesidir.
Red Canary’nin hackread.com ile paylaşılan blog yazısına göre, bir durumda, “Chrome’u Güncelle” yi tıklamak LED kullanıcılarını daha sonra kötü amaçlı bir etkinlik zinciri başlatan imzalı bir ITARIME yükleyicisini indirmeye.
Microsoft Teams, Zoom güncellemeleri ve parti davetiyeleri
Araştırmacılar tarafından belirtilen bir diğer taktik, sahte ekiplerin veya yakınlaştırma güncellemelerinin Atera veya PDQ araçları aracılığıyla teslim edildiği toplantı davetiyesidir. Bu yükleyiciler, “MicrosoftTeams.msi. “
Araştırmacılar ayrıca parti davetiyeleri kullanarak kampanyalar gördü, Cloudflare R2 depolama gibi platformlarda barındırma ve IRS belgeleri olarak gizlenmiş kurulumcuları taşıyan vergi ile ilgili hükümet formları. Birkaç olayda, saldırganlar iki farklı RMM aracı başarılı bir şekilde kullandılar ve bunlara yedek erişim sağladılar.
Red Canary’de Zeka Kıdemli Müdürü Alex Berninger, kimlik avının artık bir e -postada kırık İngilizce tespit etmekle ilgili olmadığını söylüyor. “Düşmanlar şimdi sahte tarayıcı güncellemeleri, buluşma davetleri ve hatta gerçek şeyden ayırt edilmesi neredeyse imkansız olan hükümet formları gibi son derece cilalı yemleri kullanıyor” diye açıkladı.
Kullanıcı eğitimi yardımcı olurken, çalışanların her numarayı yakalamasını beklemenin gerçekçi olmadığını vurguladı. Bunun yerine, şirketler ağ izleme, uç nokta algılama ve RMM araçlarının izin verildiği katı kontroller dahil katmanlı savunmalara ihtiyaç duyarlar.
Kendinizi ve şirketinizin verilerini koruyun
Bu yemlere düşme riskini azaltmak için çalışanların farkındalığıyla başlayın. Personel şüpheli e -postaların ve kötü amaçlı dosyaların nasıl tespit edileceğini bilmelidir. Yalnızca resmi kaynaklardan yazılım yükleyin ve bilinmeyen gönderenlerden e -postalardaki ekleri açmaktan veya bağlantıları tıklamaktan kaçının.
Herhangi bir şüphe varsa, dosyayı tarayın veya açmadan önce Virustotal gibi bir hizmetle bağlayın. Ve her şeyden önce, sağduyuya güvenin, çünkü basit bir dikkat ve iyi yargı hem insanları hem de şirketleri güvende tutmak için uzun bir yol kat ediyor.