Злоумышленники используют PDF-документы для скрытого доступа через RMM-инструменты

RMM-инструменты, изначально созданные для легального удаленного администрирования, давно превратились в популярный инструмент киберпреступников. С их помощью злоумышленники получают доступ к корпоративным сетям, отключают системы безопасности, повышают привилегии и развертывают вредоносное ПО, маскируя свои действия под легитимные процессы. Этот подход не нов: например, группировка Black Basta ранее использовала схожие тактики, выдавая себя за ИТ-специалистов и убеждая жертв установить RMM-программы, которые затем применялись для доставки ransomware.

Атаки, отслеживаемые WithSecure, отличаются высокой степенью персонализации. PDF-документы адаптированы под конкретные отрасли и содержат ссылки, замаскированные под легитимные файлы - счета, договоры или описание недвижимости. Например, одна из атак на нидерландскую риелторскую компанию использовала PDF с размытыми изображениями объектов недвижимости и текстом на голландском языке, что повышало доверие жертвы. Встроенная ссылка вела на установщик FleetDeck RMM.

География атак не ограничивается Францией и Люксембургом, но основная активность сосредоточена именно в этих странах. Выбор Люксембурга, несмотря на его небольшие размеры, объясняется высокой доходностью - здесь расположены крупные финансовые институты, энергетические компании и государственные структуры, представляющие интерес для киберпреступников. Это указывает на финансовую мотивацию атакующих и их стремление к точечному, а не массовому воздействию.

Доставка вредоносных PDF-файлов осуществляется через фишинговые письма, в которых злоумышленники имитируют сотрудников компаний-жертв или используют домены, схожие с легитимными. Встроенные в PDF ссылки ведут на официальные сайты RMM-сервисов, что позволяет обходить защитные механизмы, так как сами установщики не содержат вредоносного кода и имеют цифровые подписи. В последнее время злоумышленники также начали использовать платформу Zendesk для распространения зараженных файлов, отправляя их через систему поддержки, что затрудняет обнаружение.

Среди используемых RMM-инструментов фигурируют FleetDeck, Atera, Bluetrait и ScreenConnect. Большинство из них позволяют атакующим получить удаленный доступ сразу после установки, без дополнительной настройки. Исключением стал ScreenConnect, который распространялся через промежуточный URL, что, вероятно, делалось для скрытия домена атакующего.

Анализ метаданных PDF-файлов выявил несколько имен в поле «Автор», включая Dennis Block, Guillaume Vaugeois и Alina Georgiana Mihalcea. Эти имена, скорее всего, случайны и не связаны с реальными людьми. Также в метаданных обнаружены следы популярных инструментов для создания PDF - Microsoft Word, Canva и ILovePDF, что подтверждает использование общедоступных сервисов для подготовки атак.

Хотя WithSecure не зафиксировала дальнейших вредоносных действий после установки RMM-инструментов, их применение явно указывает на подготовку к более масштабным атакам. Известно, что ransomware-группы, такие как Conti, Royal и BlackCat, ранее использовали RMM для первоначального проникновения перед развертыванием шифровальщиков.

Эксперты подчеркивают важность мониторинга легитимных инструментов, которые могут быть использованы злоумышленниками, и рекомендуют организациям усилить защиту от социальной инженерии, особенно при работе с вложениями в электронной почте.

URLs

• https://agent.fleetdeck.io/16Dj3d4Fdn8NMMfbrVSeQn?win
• https://agent.fleetdeck.io/AXcsqzW86wmaHrjPNaYQTo?win
• https://agent.fleetdeck.io/Cy7aGZfvLsfKEuk8rEGPWn?win
• https://agent.fleetdeck.io/HoX9E2imWqMazYqypRUuzv?win
• https://agent.fleetdeck.io/JGGvyrtLZMfchTVtuz4Kzu?win
• https://agent.fleetdeck.io/Nhohu2abKJS6eQiQmDFcQF?win
• https://agent.fleetdeck.io/QsoxdPZw4B9TXSgRtqBnNM?win
• https://agent.fleetdeck.io/T9sTRrGyhJKjM4eFfqrnWy?win
• https://agent.fleetdeck.io/U4KA7AKnzheqApGs3H2dJb?win
• https://agent.fleetdeck.io/Z3dBX7JqaJpCzvCWLWYw2?win
• https://altrotech.bluetrait.io/simple/msp_download_agent?os=windows&access_key=3a682a3f-ffb8-4fcb-9c24-05e714de9d9a
• https://app.eu.action1.com/agent/7409f2b3-8fe0-11ef-8ef6-9f7ccf3fde70/Windows/agent\(My_Organization\).msi
• https://eu-superops-wininstaller-prod.s3.eu-central-1.amazonaws.com/agent/4046068187223527424/UQN7GX1C1UDC_19SYPURD17668_windows_x64.msi
• https://groupe.bluetrait.io/simple/msp_download_agent?os=windows&access_key=dd90f8fb-ff32-4041-8fc3-735e0820d58d
• https://helpdesksupport1747151491046.servicedesk.atera.com/GetAgent/Msi/?customerId=1&integratorLogin=alexandra.geyer@froid-chaud-service.com&accountId=001Q300000TDQK9IAP
• https://helpdesksupport1747151491046.servicedesk.atera.com/GetAgent/Windows/?cid=1&aid=001Q300000TDQK9IAP
• https://leferry.bluetrait.io/simple/msp_download_agent?os=windows&access_key=8d985c6f-1862-4b80-9b32-1a28880fb5c3
• https://lerelaisvoyages.bluetrait.io/simple/msp_download_agent?os=windows&access_key=7405f906-afeb-4d4c-a11f-d7cec04b2876
• https://manage.opti-tune.com/agent/download.ashx?id=2f821e8d-e075-4cba-ab36-af777d3a2e2e
• https://manage.opti-tune.com/agent/download.ashx?id=35144ffd-cb78-45ed-84a1-154043cc954c
• https://manage.opti-tune.com/agent/download.ashx?id=441ff695-e33b-46d6-a069-91e06d6f12d8
• https://manage.opti-tune.com/agent/download.ashx?id=637efb75-56a0-47a2-a4f8-b394036c753d
• https://manage.opti-tune.com/agent/download.ashx?id=9d5ad946-3334-479c-8d25-13573bb1f2f4
• https://manage.opti-tune.com/agent/download.ashx?id=c6292c97-823b-4075-be7f-c703d7d4cec3
• https://manage.opti-tune.com/agent/download.ashx?id=fc04f3f3-282d-4e00-a1b2-4592d5847f9d
• https://managerbank.bluetrait.io/simple/msp_download_agent?os=windows&access_key=44de3e71-9cb2-4a28-a5fd-7ac06d446284
• https://massen.bluetrait.io/simple/msp_download_agent?os=windows&access_key=b888df6c-4488-4146-8fd1-9292023576ad
• https://mitnick.bluetrait.io/simple/msp_download_agent?os=windows&access_key=2763d93a-3794-41bb-9a63-28c9c17e2610
• https://moduleadobeu.bluetrait.io/simple/msp_download_agent?os=windows&access_key=8f92d3d1-ed14-41ff-ba2d-6abeeae4c492
• https://revilox.bluetrait.io/simple/msp_download_agent?os=windows&access_key=7258f2f8-0da3-4b38-8632-020b07a6d4e2
• https://rmm.syncromsp.com/dl/msi/djEtMzM0MTY5ODItMTc3NTA2ODg2My03MzAwNS00MzIxODQ3
• https://rmm.syncromsp.com/dl/msi/djEtMzM1NDI2NjktMTc3NzI3MDM0My03MzMwMy00MzU1MzA4
• https://rmm.syncromsp.com/dl/msi/djEtMzM1NDk5ODYtMTc3NzUzNDk5OC03MzMwMy00MzgxMjMw
• https://rmm.syncromsp.com/dl/msi/djEtMzM1NTAwOTYtMTc3NzUzOTk0MC03MzMyNC00MzgxMjU3
• https://rmm.syncromsp.com/dl/msi/djEtMzMyNjAzOTUtMTc3MTk2NDc2OS03Mjc1Mi00MjYxNzg3
• https://rmm.syncromsp.com/dl/msi/djEtMzMyNzY0NTMtMTc3MjE1MTI1MS03Mjc4MC00MjY5Mjcy
• https://rmm.syncromsp.com/dl/msi/djEtMzMyOTI3NTMtMTc3MjU3OTUxMi03MjgxNC00Mjc0NTk1
• https://rmm.syncromsp.com/dl/msi/djEtMzMzNTU3NTItMTc3Mzg3NjIyMi03Mjk1NS00MzA3MzY5
• https://sogetis.bluetrait.io/simple/msp_download_agent?os=windows&access_key=1bc87723-0bd5-4f07-b44f-613252212666
• https://stauffer.bluetrait.io/simple/msp_download_agent?os=windows&access_key=b16aeb72-bb7a-4f0e-812e-576bf15cba19
• https://ttsonline.zendesk.com/attachments/token/LkWkQiX9tZyPCn51DKqQv2gn6/?name=RECORDATORIO+IMPORTANTE.pdf
• https://ttsonline.zendesk.com/attachments/token/nBdmgrkjycttoqwSzIwj0MSvR/?name=Comisiones+de+la+primera+cuota+se+requiere+actuar+en+caso+de+discrepancia.pdf
• https://www.hpgas8.top/Bin/secure.ClientSetup.msi?e=Access&y=Guest

SHA256

• 021f995ee8c497810ec3eecda6f87ed30ecb42ba7f22d32856b1efa231ae274b
• 035f491059caf1402e6d3886ab405b61ab8a7b8d5937fb4c5a25484c1a6b6db4
• 0771ddbaa101bbf4c051702026f56206bedf1b17e6dad7e68880edce2e63bbb8
• 0875b075f3a9da3d345e0a2b922a134baa0cbf2eaf5754da2a75d2dab2341d13
• 0c76e50d3cc947d17990c3afd44295c6299430942a4eccb1c87f8b3ea4d2def8
• 0c8c4b93170a8de7c857c5f4030c6a1e2394940bbd3d48f100014b3d0c64ed90
• 0d7b4a1d4558e0c6d29bc9a83f20db350f5afe6666942a372ec9a97003365a2d
• 0d8d1243844659f2b7eb7f0c7bec3057c05a0e3731f8330112b6d04dad718528
• 0e63cc926ac72c4e65eba76f06cbfaabe95623701432c5fe67d1fe00663fba9d
• 129df778cde4bb19049d9f48bfaaabf7baec541072dd64c0024b55d63e793a9f
• 16b2a07c2b5a1eb7a2aeea007910d0d30819e1f80d40ee3fb304098c6be1e584
• 1904d3ea755e13f64cb09f372cd9b107883f76ca73149d4f21f97022fdb28afe
• 1bcfbc79c000a18721dfbe1fa44906389146ba9e1c940f8ebe61c5ab5658e4bd
• 1f146f8fe2e7eb5d0dd0a6b7b92259bae51c0fcb376e039743ec591ba8d01e22
• 1fd8c22a0bda1df277545700ac42183447ee3657f5106c9fccee623978a5b594
• 2048c6d87ad991d2975b07568bdd5ef52e210f27b7ac85506e37619096c4f0ff
• 22e64e7ec0056a4bbeeab7acb3d46ef796c5256c9c934369ad29c35a1df050eb
• 3182309746d206db5eadb8743160bf802e012ea70dfa5ee39120e0494532098f
• 3268341dc59e2486672e22c8645046098b6280ad89d4a872ef98e649e2c5cd07
• 3f480d98a3d7d793152be1393e74c8d7ebbce67c94a6ca968b292389422e7f12
• 44baab4692375ad15363acdec3f57eb7cfea0e65456fff921624e6a531089aac
• 4e392ea104f83c5d154c12f59200755cb8e3cdfaf058000ad24a1896cbb66fa4
• 51159f622351a896439f605349301395c84cb68c245230ec76767e906d295391
• 52d3d7ae7c8f53249867714f24bafe68aeae665a5fa7cd4b426bb3e637d9cbf0
• 65878589cff87634b9f16abd0839c89020ac70499ffce8719c5a06ac40f3be1c
• 6950bd0c815b0ff60404610274380621d38a3e3a22c2e72d7c64f6adeb06c187
• 6a9fa47a7f48274558cee2e0b901d2adaa1d97016899ed1b4c2f628760c35a0a
• 745663e1832367c54e1cca6bc34e73ff28e45caa794dc8c104045d71ba8a63f8
• 79228809577bf65c75d8e2190f40a7201a6ea3c06521017107206ac82d8c47d5
• 7e10d37f2abb2bbdf1c4f7bf29277cf01a385301682068a82006563445f80a20
• 7f47f0b9d53927f05933d4881210023c876014f84515238a9e2abfb3b9bb28f3
• 81e3329a89f839952ff0ffbc9cd3e3c80796115184e9b5a0bccba99d806d8b61
• 871d457b03ec654bfb15e568cfb630198aca3b92be86b4e2684c2a09be983563
• 87d3d71acd6aaf23626e63a95b0f33c0f3fe953456db39fbaa64c61fb9cedaff
• 8905f6c6f08c4530bc97ec51def19272d9df344b46ad2186265fb77d0db2003c
• 9395edd13d1d71f64b49503fb1c04836bcbb16b9bfe2b3744d4d53f49aa08385
• 951ceed3102757d284e84804c4aa002a22502ab72fef10d2317be5192ae8a0ee
• 9ca4fcd50376d5cdfe86c9274305720b68b9ebadf59acb97f402810f3fcd2fc3
• 9dd3d568196bc8f1e417f743422fc017f48554e4604dd670b3ff06d6bf80b957
• a086433cd40c2c44fb76d29698333ffddac950e9dc9c7735cd9bf45194de496c
• a3e89e90ef69385aa3dfabfa76c7fdfad28063ed6032a4439dfef48694ed487e
• a6d75e175a3ceac0750eac4e2481dc260551218b61a3e19b9c8c1af4667a9913
• a8dc8dd2f71366010a74a0e31e21d86a29a418cfc8f7574ce290bb4009417da0
• ae4375eec439b0ee87f01fab2af55dcc5b663d7bc4ed6cd7da3c5c659e7a66fe
• b17cd37ad6d3adc89b84c7468730eda8702791531939f421880d605ef556ebf0
• b1dae73270361e3f4ff7b7441dbe55fc433d6035285f2617f2b267d31de8e9c6
• bb3c78a381e5288ed314a0f0a74333cf3e581f908c84d82d997da4ab37f95141
• c025cd3ebd280c88d5e54ce98ff92f6085c064f971e0b01310513939113e95d0
• c2325214fcd3ec4990a6caff5eb920f30296ad7ed2c9c753e5815f83fc447304
• c6a8637397a3570c0f153be98303e6b7492c3dac3b94976f6fb2408f46a1763d
• c8f077a306b2a960713c374ceb82210eb78975f62c0c5aa1dbb22e36faf949db
• c9beb4996ad6ade7070e684c7d3f6f8e8d02de30af0bfaf85504ab06a36d7c76
• d19f13124449b4d89028e80579174a3d00cd10e0e28c3dd287b36ff50a5f3d0a
• d3211a41eb9bc727b6de76fe9262ffdf4f38f6c8ca8a6e10d3b82a6be5c07564
• dc129f059e6d58e1f38e0eed886a5fb165c069a8028a4c7debea1d8a028e0231
• ddb96adab43c3c626494bca98b00c31e8d2d4be81139f438a1b6bb98cd21db65
• e09524690e24198c1cd5808954ec0e35e09febc9527ae1036be91db605f05faf
• e0ef73289dd4981c3f6a0d8640ea74c6cdb7340129749b44f9dc935bc56fdc33
• e694758dc5495d71092ea50a8226400d38a18095e6936e063038c65374949016
• e87c3fb7031ac89ce8f38b9542c55bf96097faea50d7887a731e466bc9b6f990
• e9727ab064f38171090ad232533e8c8dd0cc4d56d57ec7bb05b5320b3ad25221
• e9ba9b7e78607ca072e7cab9890c1742a7f2d82b8a6a6da2c56ac9732dfc9bd9
• eea65f23c944c5104ec7ee55e4939b51babeddcdbb52459fc2b065434e07e30d
• f0119123b86550df9ec2d7946030aab7d387aef37d006eb352498b374c0df941
• f317ebdb581fc8accf00ede9c1eab756ecb966a02bca149a66ca080a9e62aaf5