Tehdit aktörleri, kuruluşlara gizli ilk erişim için kötü niyetli RMM araçlarını kullanır

PDF belgelerine gömülü uzaktan izleme ve yönetim (RMM) yeteneklerinden yararlanan hedefli siber saldırılarda küçük bir artış, güvence ile görülmüştür.

Bu kampanyalar öncelikle Fransa ve Lüksemburg’daki kuruluşlara odaklanarak, meşru RMM montajcılarına köprüler içeren zararsız PDF’ler sunmak için sosyal olarak tasarlanmış e -postalar kullanıyor.

Bu yöntem, güvenilir, imzalı yürütülebilir dosyalardan yararlanarak e -posta ağ geçitlerini ve uç nokta savunmalarını etkili bir şekilde atlatır.

BT yönetimi için tasarlanan RMM araçları, rakip başlangıç erişim vektörleri olarak hizmet eder, rakiplerin sistemleri uzaktan kontrol etmesini, güvenlik kontrollerini devre dışı bırakmasını, ayrıcalıkları artırmasını ve ikincil yükleri dağıtmasını sağlar.

Bu teknik, fidye yazılımı teslimatı için RMM kurulumlarını teşvik etmek için destek personelini taklit eden Black Basta gibi fidye yazılımı grupları tarafından kullanılan taktikleri yansıtıyor.

Hedeflenen siber kampanyalarda gelişen taktikler

Gözlemlenen aktivite, benign yazılımın silahlanmasını vurgular, tehdit aktörleri RMM kullanımını kalıcılık ve gizlilik için uyarlar, geniş kimlik avıdan enerji, hükümet, bankacılık ve inşaat gibi yüksek değerli sektörlerin hassas hedeflenmesine kadar bir evrimi işaretler.

Kampanyalar, Avrupa’daki çoğu olayı ile coğrafi özgüllük sergilemektedir, ancak sporadik vakalar öteye uzanmaktadır.

Lüksemburg’un kişi başına yüksek GSYİH, onu finansal olarak motive edilmiş aktörler için cazip bir hedef haline getirerek hacim tabanlı saldırılara göre kazançlı uzlaşmalara öncelik veren hesaplanmış bir strateji öneriyor.

Rapora göre, PDF’ler, bulanıklık ve hızlı tıklamaları artırmak için faturalar veya sözleşmeler gibi sektöre özgü yemleri içeren mağdur endüstrileri için özelleştirilmiştir.

Örneğin, Hollandalı bir emlak firması, Hollanda’da Fleetdeck RMM’ye atıfta bulunan bir PDF ile hedeflendi.

Meta veri analizi, Microsoft Word, Canva ve IlovePDF gibi araçlar aracılığıyla üretilen “Dennis Block” ve “Guillaume Vaugeois” gibi isimler dahil olmak üzere PDF yazarlığındaki kalıpları ortaya koymaktadır.

Virustotal izlerinden alınan zaman çizelgesi verileri, Atera, Bluetrait ve ScreAnconnect gibi araçlarla, doğrudan veya yönlendirilmiş URL’ler aracılığıyla dağıtılan ve kurma sonrası konfigürasyon olmadan enfeksiyonu kolaylaştıran RMM 2024’e kadar RMM kötüye kullanımı.

Teslimat vektörleri

Teslimat, RMM satıcılarının sunucularına gömülü doğrudan indirme bağlantılarına sahip PDF’lere dayanır, genellikle meşru alanlardan veya kimliğe bürünen yöneticileri özgünlüğü arttırmak için taklit eder.

Yakın zamanda yapılan bir pivot, destek biletleri aracılığıyla PDF dağıtım için Zendesk’i kötüye kullanmayı, güvenilir platformlarda temiz ekleri barındırarak e -posta filtrelerini atlamayı içerir.

Kurulduktan sonra, RMM ajanları, bu kümede ikincil yüklerin onaylanmamış olmasına rağmen, potansiyel olarak fidye yazılımı veya veri pessfiltrasyonuna yol açan hemen uzaktan erişim sağlar.

Azaltmak için kuruluşlar, yetkisiz RMM yürütmelerini engellemek için uygulamaya izin vermeyi zorunlu kılmalı, onaylanmadıkça FleetDeck gibi araçların indirilmesini kısıtlamalı ve MSI/exe dosyalarının EDR Solutions aracılığıyla PDFS Yumurtlama Tarayıcısı gibi anormal işlem zincirlerini izlemelidir.

İstenmeyen BT destek talepleri de dahil olmak üzere kırmızı bayrak kimlik avı üzerinde kullanıcı eğitimi gerekmektedir.

Bu etkinlik, sosyal olarak tasarlanmış vektörler aracılığıyla gizli ihlalleri kolaylaştırarak rakip RMM araçlarının risklerini vurgulamaktadır.

Özellikle Avrupa odaklı operasyonlarda, bu tür suistimallere karşı uyanıklık, Conti veya Blackcat gruplarından olanlar gibi ileri tehditlere yükselmeyi önlemek için kritik öneme sahiptir.

Uzlaşma Göstergeleri (IOCS)

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!