Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA) и Многоштатный центр обмена информацией и анализа (MS-ISAC) выпускают это совместное информационное сообщение по кибербезопасности (CSA), чтобы предупредить защитников сетей о вредоносном использовании легитимного программного обеспечения для удаленного мониторинга и управления (RMM).
В октябре 2022 года CISA выявила широкомасштабную киберкампанию, связанную с вредоносным использованием легитимного программного обеспечения RMM. В частности, киберпреступники рассылали фишинговые электронные письма, которые приводили к загрузке легитимного ПО RMM - ScreenConnect (теперь ConnectWise Control) и AnyDesk, - которое использовалось в мошенничестве с возвратом денег для кражи средств с банковских счетов жертв.
Хотя эта кампания выглядит финансово мотивированной, по мнению организаций-авторов, она может привести к дополнительным видам вредоносной активности. Например, злоумышленники могли продать доступ к учетным записям жертв другим киберпреступникам или субъектам современных постоянных угроз (APT). Эта кампания подчеркивает угрозу вредоносной кибер-активности, связанной с легитимным ПО RMM: после получения доступа к целевой сети с помощью фишинга или других методов, вредоносные кибер-акторы - от киберпреступников до APT, спонсируемых национальными государствами, - как известно, используют легитимное ПО RMM в качестве бэкдора для сохранения и/или командования и контроля (C2).
Использование портативных исполняемых файлов ПО RMM позволяет злоумышленникам получить доступ к локальному пользователю без необходимости получения административных привилегий и полной установки программного обеспечения, что позволяет обойти общепринятые меры контроля программного обеспечения и предположения об управлении рисками.
Indicators of Compromise
Domains
- 247secure.us
- myhelpcare.cc
- myhelpcare.online
- win01.xyz
- win03.xyz