Siber suçlular, kurumsal sistemlere yetkisiz erişim elde etmek için uzaktan izleme ve yönetim (RMM) yazılımlarını giderek daha fazla kullanıyor ve gelişmiş yeni bir saldırı kampanyası, BT araçlarının yanlış ellerde nasıl güçlü silahlar haline gelebileceğini gösteriyor.
Bu ortaya çıkan tehdit, RMM çözümlerine yerleştirilen doğal güvenden yararlanarak, temel idari yazılımı veri hırsızlığı ve potansiyel fidye yazılımı dağıtımı için kanallara dönüştürür.
En son saldırı kampanyası, saldırgan kalıcılığını ve kontrolünü önemli ölçüde artıran çift RMM stratejisi kullanıyor.
Hem Atera hem de Splashtop Saleti’ni aynı anda dağıtarak, tehdit aktörleri, bir RMM aracı güvenlik ekipleri tarafından keşfedilip kaldırılsa bile sürekli erişim sağlar.
Bu yedeklilik, siber suçluların gizli üzerinde uzun vadeli erişimi sürdürmeye öncelik verdiği saldırı metodolojisinde ilgili bir evrimi temsil eder.
Saldırı, tehlikeye atılan Microsoft 365 hesaplarından açıklanmayan alıcı listelerine gönderilen özenle hazırlanmış bir kimlik avı e -postasıyla başlar.
.webp)
Bu mesajlar, meşruiyet oluşturmak için otantik görünümlü kelime belge simgeleri ve gizlilik altbilgileri ile tamamlanan Microsoft OneDrive bildirimlerini taklit eder.
E -postalar, Discord’un içerik dağıtım ağında (cdn.discordapp.com) barındırılan kötü niyetli bağlantılar içerir ve platformun ilk güvenlik filtrelerini atlamak için güvenilir bir hizmet olarak itibarını kullanır.
Yüce güvenlik araştırmacıları, bu kampanyayı, dosya uzantısı manipülasyonu ve onedrive taktiksel taktikleri de dahil olmak üzere birçok şüpheli göstergeyi işaretleyen AI destekli algılama motorları aracılığıyla tanımladılar.
Araştırmacılar, saldırının, özellikle çok tool yaklaşımı ve sofistike sosyal mühendislik bileşenleri nedeniyle RMM istismarında önemli bir yükselmeyi temsil ettiğini belirtti.
Enfeksiyon mekanizması ve yük dağıtım
Saldırının enfeksiyon mekanizması, dosya uzantısı manipülasyonu yoluyla gelişmiş kaçaklama tekniklerini gösterir.
Mağdurlar, .docx belge ama aslında bir dosyayı indiriyor Scan_Document_xlsx.docx.msi.
.webp)
Bu çift uzatma tekniği, yükün yürütülebilir doğasını gizlerken kullanıcı beklentilerini kullanır.
Yürütme üzerine, kötü amaçlı MSI paketi çok aşamalı bir kurulum işlemi başlatır. Atera aracısı, kullanıcı etkileşimi gerektiren ve meşru görünen görünür kurulum iletişim kutuları oluşturan katılan bir işlemle yüklenir.
Eşzamanlı olarak, arka planda iki sessiz kurulum meydana gelir: Splashtop Salonu ve Microsoft .NET Çalışma Zamanı 8.
Bu bileşenler, güvenlik izleme sistemlerine tamamen iyi huylu görünen ağ trafiği üreterek doğrudan ilgili meşru kaynaklarından indirir.
Saldırının karmaşıklığı, yük teslimatı için meşru altyapı kullanımında yatmaktadır. Kötü amaçlı yazılımlar, şüpheli alanlar yerine resmi satıcı web sitelerinden RMM bileşenlerini indirerek imza tabanlı algılama sistemlerinden ve genellikle bilinen kötü niyetli kaynaklardan indirmeleri işaretleyen ağ izleme araçlarından kaçınır.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın