Эксперты по безопасности из компании Huntress зафиксировали усложнение тактик злоумышленников, которые всё чаще используют не один, а несколько инструментов удалённого мониторинга и управления (Remote Monitoring and Management, RMM) для обеспечения долгосрочного доступа к системам жертв. Атаки начинаются с компрометации или установки одного RMM, который затем служит платформой для развёртывания второго, а иногда и третьего инструмента. Этот подход значительно повышает устойчивость атаки: даже если первый инструмент будет обнаружен и заблокирован, злоумышленники сохранят контроль через резервные каналы.
Описание
Специалисты Центра оперативной безопасности (Security Operations Center, SOC) Huntress отмечают чёткий паттерн: в качестве точки входа часто выступают инструменты PDQ или GoTo Resolve, после чего злоумышленники внедряют вторичные RMM, такие как ScreenConnect или SimpleHelp. Причины такой многослойности очевидны. Во-первых, это гарантия персистентности (устойчивого доступа). Во-вторых, разные инструменты могут использоваться для разных этапов атаки, например, первоначального сбора данных и последующего развёртывания вредоносного ПО (зловредной полезной нагрузки).
В октябре сотрудник риелторской компании получил фишинговое письмо, которое привело к установке файла "Open Revised Contract (2).exe". Этот файл оказался переименованным установщиком GoTo Resolve. После получения доступа злоумышленник использовал этот инструмент для установки на тот же хост ScreenConnect. Аналогичный случай произошёл в сентябре в инвестиционной фирме. Пользователь скачал файл с подозрительного домена, что привело к установке PDQ. Затем через PDQ был развёрнут вредоносный (malicious) экземпляр SimpleHelp, сконфигурированный на подключение к контролируемому злоумышленниками домену.
В ноябре SOC Huntress в ходе ретроспективного поиска угроз выявил ещё один инцидент. Сотрудник компании скачал установщик поддельного RMM ITarian с домена, маскировавшегося под сайт социального страхования. Этот установщик, в свою очередь, запустил скрипт, который развернул на компьютере вредоносный экземпляр ScreenConnect. Отдельные атаки демонстрируют ещё более длинные цепочки. Например, в одном случае на автосалоне злоумышленники последовательно использовали GoTo Resolve, затем SimpleHelp и в итоге ScreenConnect, создавая несколько уровней резервного доступа.
Ключевым вектором проникновения остаётся социальная инженерия. Злоумышленники рассылают фишинговые письма с убедительными предлогами. Среди последних приманок эксперты отмечают письма о праздничных бонусах, поддельные расшифровки ставок из Microsoft Teams и фальшивые приглашения на мероприятия (EVITE). Эти уловки заставляют пользователей самостоятельно запускать вредоносные установщики, замаскированные под легитимные документы или программы.
Борьба с таким злоупотреблением легитимным ПО сложна, поскольку эти инструменты изначально не являются вредоносными. Специалисты SOC обращают внимание на косвенные признаки: подозрительные пути установки (например, из временных каталогов), необычные домены для подключения или последовательная установка нескольких RMM-инструментов за короткий период. Для противодействия компаниям рекомендуется создать точную инвентаризацию активов и внедрить контроль приложений, чтобы разрешать только авторизованные RMM. Также необходим постоянный аудит и мониторинг уже установленных инструментов удалённого управления для выявления аномалий в их использовании.
Инциденты, описанные аналитиками Huntress, представляют лишь небольшую часть ежедневно фиксируемых случаев злоупотребления RMM. Угроза носит массовый и развивающийся характер, поэтому организациям следует уделить повышенное внимание защите от этого вектора атак, сочетая технические меры с регулярным обучением сотрудников кибергигиене.
Индикаторы компрометации
Domains
- abre.ai
- deuwre.com
- ssaaccount-helper.icu
- stsmithchurchitems.shop
- support.innerschapel.com
- wilkensealsivc.shop
- xtroloozyanimailfeeddeals.shop
URLs
- http://elegantparty.de
- https://con.wepivifllc.de
