В последнее время злоумышленники все чаще используют легитимные инструменты удаленного мониторинга и управления (RMM) в качестве первой полезной нагрузки в кампаниях по электронной почте.
Описание
Такие инструменты используются предприятиями для удаленного управления компьютерами, но злоумышленники используют их для кражи финансовых данных, перемещения внутри систем и установки вредоносного ПО. Исследователи отметили рост такого использования RMM и сокращение использования известных загрузчиков и ботнетов. Это новая тенденция в кибератаках, где RMM стали популярными полезными нагрузками в начальном этапе атаки.
Основное использование RMM было зарегистрировано в атаках типа ransomware, где они служили частью общей цепочки атак. Злоумышленники могут использовать RMM для установки вредоносного ПО после получения первоначального доступа к системе. Кроме того, RMM активно использовались злоумышленниками, проводящими атаки, ориентированные на телефон. В таких атаках злоумышленники манипулируют получателем электронного письма, предлагая ему позвонить по указанному номеру телефона. Когда жертва звонит, злоумышленники направляют ее на установку вредоносного ПО, включая RMM.
Использование RMM в качестве полезной нагрузки в начальном этапе атаки по электронной почте стало более распространенным с середины 2024 года. В то время как количество известных вредоносных программ-загрузчиков и ботнетов, которые ранее использовались брокерами первоначального доступа, сократилось. Это может быть связано с проведением операции "Эндшпиль", которая уничтожила инфраструктуру нескольких важных семейств вредоносных программ и привела к сокращению активности их использования в кибератаках.
Исследователи отметили, что IAB-акторы, которых они отслеживают, не обязательно перешли на использование RMM в кампаниях по электронной почте. Однако проведенные наблюдения свидетельствуют об изменении ландшафта угроз с увеличением использования RMM и сокращением использования других инструментов. В то же время, снижение активности IAB связывают с операцией "Эндшпиль", которая привела к разрушению инфраструктуры нескольких вредоносных программ и сократила количество платежей за выкупные программы.
Indicators of Compromise
IPv4
- 109.71.247.168
IPv4 Port Combinations
- 185.157.213.71:443
Domains
- retireafter5m.co
- invoice007.zapto.org
- instance-udm3tv-relay.screenconnect.com
URLs
- http://45.155.249.215/xxx.zip
- http://www.farrarscieng.com/re.php
- https://3650ffice.anticlouds.su/Fraud_Alert_black/
- https://kalika.bluetrait.io/api/
- https://online.invoicesing.es/Bin/Attachment.Client.exe?h=instance-w08c5r-relay.screenconnect.com&p=443&k=BgIAAACkAABSU0ExAAgAAAEAAQBtb%2FXciCJO5hHyAR3NG5qwkHgKE4K5jxeGBs35Nlncjh1l6g%2B23I88rvlqmL%2FU%2BHDK35q63nY%2BZ%2BacGdqbEGbCs9%2BC5ELjJTyrUFEL0gVqegeArzyszYoIS4ijuI8mGGKzW9tytW5tQhqCPuQeWdSbe0f0ttBWIUk6MfP0L7WpImwpbDzvxtmyMWSxZ8JZg39F6e1w8cQHzLH0aqJX9uvQgIvogbJB0mFXWURVi9ErahW%2BwkXWptsr99acbACeWvHhej11zT9ZPHMMaluuXTiYnS06xPJTJZglT5hvMbl15uReewBWhhwiEVa2S%2BD%2BCQEQGLsz1dpJNd543dQllUPh&s=c242c8a1-6914-4689-8deb-67789c4f3a34&i=&e=Support&y=Guest&r=
- https://online.invoicesing.es/Bin/Statement.ClientSetup.exe?e=Access&y=Guest&c=Black_Cat&c=&c=&c=&c=&c=&c=&c=\
- https://region-businesss-esignals.s3.us-east-1.amazonaws.com/region-businesss-esignals-46980.html
- https://retireafter5m.co/Bin/Recently_S_S_A_eStatementForum_Viewr5406991387785667481_Pdf.Client.exe?e=Access&y=Guest&s=1fa76235-0891-43b3-9773-feba750a3852&i=Buss1
- https://safelink.vn/GESLx
- https://safelink.vn/OsDXr
- https://ssastatementshelpcenter.de/top/
SHA256
- 4c4e15513337db5e0833133f587e0ed131d4ebb65bb9a3d6b62a868407aae070
- 97b35a7673ae59585ad39d99e20d9028ac26bbccb50f2302516520f544fe637e
- b8fd2b4601b09aacd760fbede937232349bf90c23b35564ae538ed13313c7bd0
