Siber güvenlik araştırmacıları, tehlikeye atılmış ana bilgisayarlara kalıcı uzaktan erişim için yasal Uzaktan İzleme ve Yönetim (RMM) yazılımını dağıtmak amacıyla çalınan kimlik bilgilerinden yararlanan yeni bir çift vektör kampanyasının ayrıntılarını açıkladı.
KnowBe4 Threat Labs araştırmacıları Jeewan Singh Jalal, Prabhakaran Ravichandhiran ve Anand Bodke, “Saldırganlar özel virüsler dağıtmak yerine yöneticilerin güvendiği gerekli BT araçlarını silah haline getirerek güvenlik sınırlarını atlıyorlar” dedi. “Sistemin ‘iskelet anahtarını’ çalarak meşru Uzaktan İzleme ve Yönetim (RMM) yazılımını kalıcı bir arka kapıya dönüştürüyorlar.”
Saldırı, iki farklı dalga halinde gerçekleşiyor; tehdit aktörleri, kurbanın kimlik bilgilerini çalmak için sahte davet bildirimlerinden yararlanıyor ve ardından kalıcı erişim sağlamak amacıyla RMM araçlarını dağıtmak için çalınan bu kimlik bilgilerinden yararlanıyor.
Sahte e-postalar, Greenvelope adı verilen meşru bir platformdan gelen davet olarak gizleniyor ve alıcıları, Microsoft Outlook, Yahoo!, AOL.com oturum açma bilgilerini toplamak üzere tasarlanmış bir kimlik avı URL’sine tıklamaları için kandırmayı amaçlıyor. Bu bilgi elde edildikten sonra saldırı bir sonraki aşamaya geçer.
Spesifik olarak, bu, tehdit aktörünün, RMM erişim belirteçleri oluşturmak için ele geçirilen e-postayı kullanarak LogMeIn’e kaydolmasını ve daha sonra kurban sistemlerine kalıcı uzaktan erişim sağlamak için “GreenVelopeCard.exe” adlı bir yürütülebilir dosya aracılığıyla bir takip saldırısında konuşlandırılmasını içerir.
Geçerli bir sertifikayla imzalanan ikili dosya, LogMeIn Resolve’u (eski adıyla GoTo Resolve) sessizce yüklemek ve kurbanın bilgisi olmadan saldırgan tarafından kontrol edilen bir URL’ye bağlanmak için bir kanal görevi gören bir JSON yapılandırması içerir.
RMM aracının artık konuşlandırılmasıyla, tehdit aktörleri, hizmet ayarlarını Windows’ta sınırsız erişimle çalışacak şekilde değiştirmek için uzaktan erişimi silah haline getiriyor. Saldırı ayrıca, kullanıcı tarafından manuel olarak sonlandırılsa bile RMM programını otomatik olarak başlatmak için gizli zamanlanmış görevler de oluşturur.
Tehdide karşı koymak için kuruluşların yetkisiz RMM kurulumlarını ve kullanım kalıplarını izlemesi önerilir.