Hedeflenen kuruluşlardaki kullanıcıları, meşru uzaktan izleme ve yönetim (RMM) yazılımı yüklemeleri için kandırmak, mali amaçları olan saldırganlar tarafından kullanılan tanıdık bir model haline geldi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) Çarşamba günü uyardığı gibi, ABD federal sivil yürütme organının kurumları bile hiçbir kuruluş bağışlanmaz.
Saldırganların işleyiş şekli
“Ekim 2022’de CISA, meşru RMM yazılımının kötü niyetli kullanımını içeren yaygın bir siber kampanya tespit etti. Ajans, özellikle, siber suç aktörleri, kurbanların banka hesaplarından para çalmak için bir geri ödeme dolandırıcılığında kullandıkları meşru RMM yazılımının (ScreenConnect (artık ConnectWise Control) ve AnyDesk) indirilmesine yol açan kimlik avı e-postaları gönderdi.
CISA, FCEB ajanslarından birindeki bir sisteme kötü niyetli olarak yüklenmiş yazılımı keşfettikten sonra, diğer ajanslarda güvenliği ihlal edilmiş daha fazla sistem aramaya başladı ve buldu.
Kimlik avı e-postaları yardım masası temalıdır – örneğin, Geek Squad veya GeekSupport’un kimliğine bürünmek – ve alıcıyı pahalı bir hizmetin/aboneliğin yenilenmesiyle “tehdit etmek”. Amaç, alıcının, hedefi uzaktan yönetim yazılımını yüklemeye ikna etmeye çalışan saldırganlar tarafından yönetilen belirli bir telefon numarasını aramasını sağlamaktır.
“CISA, aktörlerin güvenliği ihlal edilmiş ana bilgisayara indirilen RMM istemcilerini yüklemediğini kaydetti. Bunun yerine aktörler, AnyDesk ve ScreenConnect’i oyuncunun RMM sunucusuna bağlanmak üzere yapılandırılmış bağımsız, taşınabilir yürütülebilir dosyalar olarak indirdiler” diye açıkladı.
“Taşınabilir yürütülebilir dosyalar, kurulum gerekmeden kullanıcının bağlamında başlatılır. Taşınabilir yürütülebilir dosyalar, yönetici ayrıcalıkları gerektirmediğinden, aynı yazılımın ağ üzerinde yüklenmesini denetlemek veya engellemek için bir risk yönetimi denetimi yürürlükte olsa bile, onaylanmamış yazılımların yürütülmesine izin verebilirler. Tehdit aktörleri, yerel intranet içindeki diğer savunmasız makinelere saldırmak veya yerel bir kullanıcı hizmeti olarak uzun vadeli kalıcı erişim sağlamak için yerel kullanıcı haklarına sahip taşınabilir bir yürütülebilir dosyadan yararlanabilir.”
RMM yazılımı ayrıca genellikle uç noktalarda virüsten koruma veya kötü amaçlı yazılımdan koruma çözümlerini tetiklemez.
Potansiyel hedefler ve risk azaltma önerileri
CISA tarafından bulunan kampanyada aktörler, bir geri ödeme dolandırıcılığı başlatmak için RMM yazılımını kullandılar, ancak elde edilen erişimle başka şeyleri de aynı kolaylıkla yapabilirlerdi. Örneğin, aynı ağdaki diğer sistemlere erişim elde etmeye çalışmak için kullanabilirler veya kurban hesap erişimini fidye yazılımı çetelerine veya APT aktörlerine satabilirler.
Herhangi bir kuruluş iyi bir hedef olabilirken, yönetilen hizmet sağlayıcılar (MSP’ler) ve BT yardım masaları, müşteri sistemleriyle uzaktan (ve yasal olarak!) etkileşim kurmak için RMM yazılımını kullandıkları için en iyisini yaparlar.
“Bu tehdit aktörleri, MSP ağlarındaki güven ilişkilerinden yararlanabilir ve kurban MSP’nin çok sayıda müşterisine erişim sağlayabilir. MSP güvenlik ihlalleri, MSP’nin müşterileri için fidye yazılımı ve siber casusluk gibi önemli riskler getirebilir,” diye ekledi CISA.
Ajans, herkesin sistemlerine yapılan başarılı bir saldırının kanıtını aramak için kullanabileceği uzlaşma göstergelerini paylaştı ve ağ savunucularına bu özel riski nasıl en aza indirecekleri konusunda tavsiyeler verdi.