AnyDesk, Atera ve Splashtop gibi popüler araçları da içeren Uzaktan İzleme ve Yönetim (RMM) yazılımı, günümüzün BT yöneticileri için çok değerlidir; görevleri kolaylaştırır ve uzaktan ağ bütünlüğünü sağlar. Ancak aynı araçlar, şirket ağlarına sızmak ve hassas verileri çalmak için bunları kullanan siber suçluların da dikkatini çekti.
Bu tehdit aktörlerinin işleyiş şekli, karmaşık dolandırıcılıklar ve yanıltıcı çevrimiçi reklamlar yoluyla çalışanları kandırmayı içerir. Bu taktiklerle yanıltılan hiçbir şeyden şüphelenmeyen çalışanlar, yanlışlıkla bu suçluları sistemlerine davet edebilir. Çalışanları, var olmayan sorunları düzeltme kisvesi altında bu zararsız görünen RMM uygulamalarını indirip çalıştırmaya ikna eden bu dolandırıcılar, şirketin ağına sınırsız erişim elde ediyor.
Bu yazıda, AnyDesk uzaktan yazılımı aracılığıyla kurumsal kullanıcıları hedef alan belirli bir kimlik avı dolandırıcılığını ve ThreatDown’un bu tür programların siber suçlular tarafından kötüye kullanılmasını nasıl önleyebileceğini inceliyoruz.
Kimlik avı sitesi uzak yazılım barındırıyor
Kurbanların önce hedef alındığını ve ardından şirketteki konumlarına göre kimlik avı e-postaları veya kısa mesajlar (smishing) yoluyla iletişime geçildiğine inanıyoruz.
Saldırganlar, onları tipik bir kimlik avı sayfasına göndererek veya kötü amaçlı yazılım indirmelerini sağlayarak onları kandırabilir; bunların hepsi iyi seçeneklerdir. Ancak bunun yerine kurbanlarıyla etkileşime girebilecekleri uzun bir oyun oynuyorlar.
Kullanıcılar, kendi finans kurumlarını taklit eden yeni kayıtlı web sitelerine yönlendirilmektedir. Destek alabilmek için ‘canlı sohbet uygulaması’ görünümüne sahip uzak masaüstü yazılımını indirmeleri gerekiyor.
uk-barclaysliveteam[.]com/corp/AnyDesk.exe
uk-barclaysliveteam[.]com/corp/anydesk.dmg
İndirilen yazılımın kötü amaçlı yazılım olmadığını belirtmek ilginçtir. Örneğin, bu örnekte, güvenlik ürünleri tarafından kötü amaçlı olarak algılanmayacak meşru (güncel olmasına rağmen) bir AnyDesk yürütülebilir dosyası kullanıyorlar.
Programı çalıştırdığınızda size yardımcı olmaya çalışan kişiye verebileceğiniz bir kod görüntülenecektir. Bu, saldırganın makinenin kontrolünü ele geçirmesine ve doğrudan kullanıcıdan geliyormuş gibi görünen eylemler gerçekleştirmesine olanak tanıyabilir.
Tehdit aktörleri, aynı ‘Windows’ta canlı sohbet’ tarzını izleyerek, farklı finans kurumları için kimlik avı alan adları kaydettirdi. Bunların hepsinin aynı grup mu olduğu yoksa birkaç suç çetesinin mi bu dolandırıcılığı yürüttüğü belli değil. Ancak bu alan adlarının çoğu, bir dizi ‘geleneksel’ kimlik avı sitesine sahip olan AS200593’te barındırılmaktadır.
Bazı bankacılık siteleri, bir müşterinin oturum açmasına izin vermeden önce o anda bir uzak program çalıştırıp çalıştırmadığını tespit etmeye çalışır. Ancak her banka bu özelliğe sahip değildir ve tehdit aktörlerinin bu tür tespitlerden kaçabildiği bazı durumlar vardır.
Piyasada dolandırıcıların ve suçluların yararlanabileceği çok sayıda RMM aracı bulunmaktadır. İroniktir ki, daha popüler ve basit olanlar aynı zamanda en çok suiistimal edilenler olma eğilimindedir.
AnyDesk yakın zamanda saldırganların üretim sistemlerini tehlikeye atmasına olanak tanıyan bir güvenlik ihlaliyle ilgili haberlere çıktı. Satıcı daha sonra kod imzalama sertifikalarını iptal etti ve müşterilerini yazılımlarını güncellemeye çağırıyor.
RMM satıcıları, yazılımlarının yasa dışı kullanımının farkındadır ve kullanıcılara düzenli olarak genel güvenlik ipuçlarını hatırlatır. AnyDesk ayrıca çağrı merkezlerini kapatmak için ScammerPayback gibi dolandırıcılıkla mücadele edenlerle de ortaklık kurdu.
Tüm ThreatDown Paketleriyle birlikte ücretsiz olan Uygulama Bloğu, kuruluşları giderek artan meşru RMM araçlarının kötüye kullanılması eğilimine karşı kolayca koruyabilir. Kuruluşlar RMM araçlarını Uygulama Bloğu aracılığıyla şu şekilde engelleyebilir:
- Nebula konsolundaki ‘Monitör’ bölümüne gitme.
- ‘Uygulama Bloğu’nu seçme
- ThreatDown tarafından sağlanan ‘RMM’yi Engelle’ geçiş anahtarının etkinleştirilmesi veya listenin özel ihtiyaçlarına uyacak şekilde özelleştirilmesi.
Bu RMM araçlarını ağ genelinde anında engellemek için yapılandırmayı kaydediyoruz.
Gereksiz tüm uygulamaları engelleyerek sağlam bir savunma duruşu benimseyin; kullanmanız gerekenler için ThreatDown Paketlerimizin EDR/MDR katmanları, enfeksiyon durumunda ek bir güvenlik ağı sağlayacaktır.
Uzlaşma Göstergeleri
Kimlik avı alanları
uk-barclaysliveteam[.]com
barclaysbusinesslivechat[.]com
boi-bb-onlineservice[.]com
santanderbusiness-helpcentre[.]com
ThreatDown paketlerini bugün deneyin
ThreatDown paketleri, karmaşık dağıtım, dağınık araçlar ve aşırı uyarı gürültüsü üçlüsünden rahatsız olan BT ekipleri için günümüzün güvenlik ekiplerinin ihtiyaçlarını karşılayan üstün bir çözüm olarak ortaya çıkıyor.
ThreatDown Paketleri ile farkı keşfedin ve kuruluşunuzun siber tehditlere karşı savunmasını yükseltin. Ücretsiz deneme için iletişime geçin ve basitleştirilmiş ancak sağlam bir güvenlik çerçevesinin avantajlarını deneyimleyin.
ThreatDown Paketlerini Deneyimleyin