Siber güvenlik uzmanları, ağlara sızmak, erişimi sürdürmek ve yanal hareketi kolaylaştırmak için meşru uzaktan izleme ve yönetim (RMM) yazılımını kullanan tehdit aktörlerinin kalıcı bir eğilimini belirlemiştir.
Tipik olarak BT yöneticileri tarafından sistem bakımı ve desteği için kullanılan bu meşru araçlar, saldırganlara işletme ortamlarındaki güvenilir statüleri nedeniyle genellikle geleneksel güvenlik önlemlerinden kaçan güçlü yetenekler sunar.
Bu saldırılarda kaldırılan yaygın RMM uygulamaları arasında AnyDesk, TeamViewer, Screenconnect, Quick Assist ve Splashtop bulunmaktadır. Bu araçlar, sistem güncellemeleri, varlık yönetimi, yazılım dağıtım ve son nokta sorun giderme gibi meşru amaçlar için kuruluşlar arasında yaygın olarak konuşlandırılır, bu da kötü amaçlı kullanımın tespit edilmesini zorlaştırır.
Intel471 analistleri, saldırganların sosyal mühendislik taktikleri aracılığıyla kullanıcı kimlik bilgilerini tehlikeye atarak veya modası geçmiş yazılımlardaki güvenlik açıklarından yararlanarak RMM yazılımına sıklıkla ilk erişim elde ettiğini belirledi.
Bazı durumlarda, saldırganlar, tehlikeye atılan kimlik bilgileri sıfırlansa bile kalıcılığı korumak için RMM platformunda ek hesaplar oluşturarak yasadışı erişimi korumak için proaktif adımlar atarlar.
Özellikle ilgili bir taktik, destek personelini destekleyen tehdit aktörlerini içerir.
Belgelenmiş bir durumda, saldırganlar bir çalışanın gelen kutusunu spam ile doldurdu, daha sonra iç BT desteğini taklit ederken kurbanı çağırdı ve “Antispam yazılımı” yüklemeyi teklif etti.
Şüphesiz çalışan, ANYDESK gibi uzaktan erişim yazılımı kurmaya ikna edildi ve saldırganlara doğrudan sistem erişimi sağladı.
Nisan 2022’de ortaya çıkan ve o yıl üçüncü en etkili fidye yazılımı operasyonu haline gelen kötü şöhretli Black Basta Fidye Grubu, bu teknikten yararlanmada özellikle becerikli oldu.
Şubat 2025’teki sızan sohbet mesajlarına göre, Rusça konuşan siber suç grubu düzenli olarak RMM araçlarını saldırı zincirlerinin temel bir bileşeni olarak kullandı.
Kötü niyetli RMM kullanımı için tehdit avı
Güvenlik ekipleri, dosya sistemindeki anormal konumlardan yürütmeleri belirleyerek şüpheli RMM dağıtımlarını tespit edebilir.
.webp)
Sorgu mantığı, AppData, indirmeler ve program dosyaları dizinleri gibi ortak meşru yolları hariç tutarken “anydesk.exe” içeren işlem adlarına odaklanır.
Sysmon günlüklerine karşı yürütüldüğünde, bu sorgu, saldırganların RMM araçlarını halka açık müzik dizini gibi olağandışı yerlerde gizledikleri örnekleri ortaya çıkarabilir.
Intel471, kuruluşların potansiyel olarak kötü niyetli komut ve kontrol trafiğini tanımlamak için RMM araçlarından katı uygulama kontrol politikaları ve ağ bağlantılarını izlemenizi önerir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free