Вредоносное использовании легитимного программного обеспечения для удаленного мониторинга и управления

security IOC

Агентство по кибербезопасности и защите инфраструктуры (CISA), Агентство национальной безопасности (NSA) и Многоштатный центр обмена информацией и анализа (MS-ISAC) выпускают это совместное информационное сообщение по кибербезопасности (CSA), чтобы предупредить защитников сетей о вредоносном использовании легитимного программного обеспечения для удаленного мониторинга и управления (RMM).


В октябре 2022 года CISA выявила широкомасштабную киберкампанию, связанную с вредоносным использованием легитимного программного обеспечения RMM. В частности, киберпреступники рассылали фишинговые электронные письма, которые приводили к загрузке легитимного ПО RMM - ScreenConnect (теперь ConnectWise Control) и AnyDesk, - которое использовалось в мошенничестве с возвратом денег для кражи средств с банковских счетов жертв.

Хотя эта кампания выглядит финансово мотивированной, по мнению организаций-авторов, она может привести к дополнительным видам вредоносной активности. Например, злоумышленники могли продать доступ к учетным записям жертв другим киберпреступникам или субъектам современных постоянных угроз (APT). Эта кампания подчеркивает угрозу вредоносной кибер-активности, связанной с легитимным ПО RMM: после получения доступа к целевой сети с помощью фишинга или других методов, вредоносные кибер-акторы - от киберпреступников до APT, спонсируемых национальными государствами, - как известно, используют легитимное ПО RMM в качестве бэкдора для сохранения и/или командования и контроля (C2).

Использование портативных исполняемых файлов ПО RMM позволяет злоумышленникам получить доступ к локальному пользователю без необходимости получения административных привилегий и полной установки программного обеспечения, что позволяет обойти общепринятые меры контроля программного обеспечения и предположения об управлении рисками.

Indicators of Compromise

Domains

  • 247secure.us
  • myhelpcare.cc
  • myhelpcare.online
  • win01.xyz
  • win03.xyz

 

SEC-1275-1
Добавить комментарий