Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi’nden (MS-ISAC) ortak bir Siber Güvenlik Danışmanlığı (CSA), ağ savunucularını kötü amaçlı kullanıma karşı uyarmak için yayınlandı. meşru uzaktan izleme ve yönetim (RMM) yazılımı.
Ekim 2022’de CISA, meşru olan kötü amaçlı RMM yazılımını kullanan büyük bir siber saldırı keşfetti.
Bu kampanyada siber suçlular, kullanıcıları ScreenConnect ve AnyDesk gibi güvenilir RMM yazılımlarını indirmeleri için kandırmak için kimlik avı e-postaları kullandılar ve daha sonra bu yazılımları kullanarak kurbanların banka hesaplarından para iadesi dolandırıcılığı yoluyla para çaldılar.
Ayrıca aktörler, kurban hesap erişimini diğer siber suçlu veya gelişmiş kalıcı tehdit (APT) aktörlerine satabilir.
CISA, “RMM yazılımının taşınabilir yürütülebilir dosyalarının kullanılması, aktörlere, yönetici ayrıcalığına ve tam yazılım kurulumuna ihtiyaç duymadan, ortak yazılım kontrollerini ve risk yönetimi varsayımlarını etkin bir şekilde atlayarak, yerel kullanıcı erişimi oluşturmanın bir yolunu sağlar”, diyor CISA.
Kötü Amaçlı Siber Etkinliğe Genel Bakış
CISA tarafından işletilen ve izlenen bir federal sivil yürütme organı (FCEB) kapsamlı izinsiz giriş tespit sistemi (IDS) olan EINSTEIN’in geriye dönük incelemesine dayanarak, iki FCEB ağının kötü niyetli etkinliğin hedefi olabileceği keşfedildi.
- Bir FCEB çalışanının devlet e-posta adresi, 2022 Haziran ayının ortalarında kötü niyetli kişilerden telefon numarası içeren bir kimlik avı e-postası aldı. Çalışan numarayı aradı ve sonuç olarak sahte web sitesi myhelpcare’i ziyaret ettiler.[.]internet üzerinden.
- Bir FCEB ağı ile myhelpcare arasında iki yönlü trafik vardı[.]Eylül 2022’nin ortasında cc.
Raporlar, bir alıcı birinci aşama kötü amaçlı bir etki alanını ziyaret ettiğinde bir yürütülebilir dosyanın indirildiğini söylüyor. Yürütülebilir dosya daha sonra, diğer RMM yazılımlarını indirdiği “ikinci aşamada” olan kötü amaçlı bir etki alanıyla bağlantı kurar.
“Oyuncular, güvenliği ihlal edilmiş ana bilgisayara indirilen RMM istemcilerini yüklemedi. Bunun yerine aktörler, AnyDesk ve ScreenConnect’i oyuncunun RMM sunucusuna bağlanmak üzere yapılandırılmış bağımsız, taşınabilir yürütülebilir dosyalar olarak indirdiler”, dedi CISA.
Bu durumda oyuncular, indirdikten sonra bir geri ödeme dolandırıcılığı başlatmak için RMM yazılımını kullandı. Başlangıçta kurbanın sistemiyle bir bağlantı kurdular, ardından kurbanı sisteme bağlıyken banka hesaplarına giriş yapması için kandırdılar.
Alıcının banka hesabı özeti daha sonra aktörler tarafından RMM yazılımı tarafından sağlanan erişimleri kullanılarak değiştirildi.
Raporlara göre, yanlış bir şekilde değiştirilmiş banka hesap özeti, alıcıya yanlışlıkla fazla miktarda paranın iade edildiğini gösterdi. Aktörler daha sonra alıcıya bu fazla miktarı dolandırıcılık operatörüne “iade etmesi” talimatını verdi.
Ağ Savunucuları Aşağıdakilerin Farkında Olmalıdır:
- Tehdit aktörleri, bu kampanyadaki siber suçlu aktörler ScreenConnect ve AnyDesk’i kullanmış olsalar bile, herhangi bir meşru RMM yazılımını kötü amaçla kullanabilir.
- Tehdit aktörleri, geçerli RMM uygulamalarını kendi kendine yeten, taşınabilir yürütülebilir dosyalar olarak indirerek hem yönetici ayrıcalıklarına olan ihtiyacı hem de yazılım yönetimi kontrol ilkelerini önleyebilir.
- Virüsten koruma ve kötü amaçlı yazılımdan koruma korumaları genellikle RMM yazılımı kullanılarak tetiklenmez.
- Kötü niyetli siber aktörler tarafından kalıcılık ve C2 için arka kapılar olarak orijinal RMM ve uzak masaüstü yazılımlarının kullanıldığı iyi bilinmektedir.
- RMM yazılımı, siber suçluların kendi kötü amaçlı yazılımlarını kullanmaktan kaçınmasını sağlar.
Tehdit aktörleri sıklıkla yetkili RMM yazılımı kullanıcılarını hedef alır. Hedefler, ağ yönetimi, uç nokta izleme, uç nokta yönetimi ve BT destek görevleri için uzak ana bilgisayar etkileşimi için sıklıkla meşru RMM yazılımı kullanan yönetilen hizmet sağlayıcıları (MSP’ler) ve BT yardım masalarını içerebilir.
Dolayısıyla, bu tehdit aktörleri, MSP ağlarındaki güven ilişkilerinden yararlanabilir ve kurban MSP’nin birçok müşterisine erişim sağlayabilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin