В мире информационной безопасности тренды угроз часто сменяют друг друга с кинематографичной скоростью: сегодня в центре внимания передовые группы APT (Advanced Persistent Threat, группа целевых атак), завтра - изощрённые программы-вымогатели. Однако реальная картина инцидентов может быть куда более приземлённой и от того не менее опасной. Эксперты компании Huntress, специализирующейся на обнаружении угроз, констатируют, что наиболее распространённой атакой 2025 года стало злоупотребление легитимными инструментами удалённого мониторинга и управления, или RMM (Remote Monitoring and Management). На подобные инциденты пришлось почти четверть (24%) всех наблюдаемых случаев, а частота их использования злоумышленниками выросла на ошеломляющие 277%. Вместо разработки сложного вредоносного ПО угрозовые акторы всех уровней, от малоопытных одиночек до организованных групп, строят целые тактические схемы вокруг утилит, предназначенных для техподдержки, используя их для кражи учётных данных, выполнения команд и закрепления в системе.
Описание
Особую тревогу вызывает наблюдаемая специалистами Huntress тактика, получившая название «гирляндной цепи» (daisy-chaining). Она заключается в последовательном использовании нескольких различных RMM-инструментов для фрагментации телеметрии, распределения механизмов закрепления в системе и усложнения процедур атрибуции атаки и её сдерживания. В ходе расследований, проведённых в декабре 2025 и январе 2026 года, эксперты документе детально описали, как злоумышленники комбинируют, например, программное обеспечение для управления уязвимостями Action1 с клиентом ScreenConnect, развёрнутым через пакеты Microsoft Installer, создавая устойчивые каналы удалённого доступа. Подход не отличается технической сложностью, но оказывается чрезвычайно эффективным, поскольку опирается на злоупотребление легитимным, подписанным кодом, который часто исключается из списков блокировки.
Механизм заражения обычно начинается с массовых рассылок фишинговых писем или отравления результатов поисковых систем. В качестве приманки используются вечные темы, вызывающие доверие и клики: уведомления от Администрации социального обеспечения США в период налогового сезона или приглашения на различные мероприятия. Жертв перенаправляют на поддельные сайты, которые, вместо выдачи ожидаемого документа, агрессивно навязывают загрузку установщика MSI. Исследователи обнаружили, что злоумышленники активно используют платформу GitHub для размещения фишинговой инфраструктуры, настраивая кастомные домены и создавая минималистичные, но функциональные сайты-ловушки. Код таких страниц зачастую генерируется с помощью больших языковых моделей (LLM) и использует несколько браузерных API подряд, чтобы гарантированно запустить загрузку вредоносного установщика, обходя простые защитные эвристики.
Любопытной деталью является избирательность атак. В некоторых кампаниях срабатывает простейшая фильтрация по пользовательскому агенту: доступ к фишинговой странице и последующая загрузка полезной нагрузки разрешены только для устройств под управлением Windows. В других случаях, напротив, цель - исключительно мобильные пользователи, чьи учётные данные затем похищаются через поддельные формы входа в почтовые сервисы. Для маскировки своей инфраструктуры угрозовые акторы всё чаще используют сервисы вроде Cloudflare, которые, обеспечивая защиту легитимным сайтам, одновременно скрывают происхождение вредоносных ресурсов, затрудняя их блокировку по IP-адресу и процедуры удаления.
Уникальное понимание рабочих процессов злоумышленников эксперты Huntress получили, когда в декабре 2025 года те сами зарегистрировались на их платформе, вероятно, с целью тестирования детектирующих возможностей. Это позволило в режиме реального времени наблюдать за настройкой операционной среды: покупкой виртуального приватного сервера (VPS), использованием подарочных карт для анонимной регистрации доменов, установкой инструментов для автоматизации управления SSL/TLS-сертификатами и, что наиболее показательно, браузерных расширений для массового сбора email-адресов. Собранные контакты формируют списки для последующих фишинговых рассылок, создавая самоподдерживающийся цикл атаки. После получения доступа к почтовым ящикам жертв акторы пытались захватить и связанные с ними банковские аккаунты, используя процедуры сброса пароля.
Финальной целью в большинстве случаев является тихая установка RMM-клиента, такого как ScreenConnect, для обеспечения постоянного удалённого доступа. Для продления времени своего пребывания в системе (dwell time) злоумышленники применяют дополнительные утилиты, например, «Hide from Uninstall List» от Sordum, которая скрывает установленные программы из списка «Установка и удаление программ» Windows. Также распространена практика использования поддельного окна безопасности Windows (pin.exe), которое вынуждает пользователя ввести свой PIN-код, после чего перехваченные данные сохраняются в открытом текстовом файле.
Отраслевой ответ на эту растущую угрозу требует консолидированных усилий. Во-первых, производителям RMM-решений необходимо активнее бороться со злоупотреблениями в своих экосистемах, ужесточив процессы верификации для пробных и бесплатных тарифов, а также улучшив логирование и прозрачность аудита для своих продуктов. Во-вторых, защитникам внутри организаций следует пересмотреть подход к мониторингу подобного ПО. Установки RMM-инструментов, особенно из непредназначенных для этого путей или через почтовые вложения, должны рассматриваться как события, связанные с безопасностью, по умолчанию. Практичной стратегией становится внедрение явного разрешительного списка (allow-listing) утверждённых инструментов администрирования и блокировка всех остальных.
Ключевой вывод исследования заключается в том, что проблема злоупотребления RMM - это не технический вызов, а проблема избыточного доверия. Пока отрасль в целом продолжает считать эти инструменты безоговорочно легитимными и не подвергает их установку и использование должной проверке, злоумышленники будут комфортно чувствовать себя в серой зоне между санкционированной IT-деятельностью и явно враждебными действиями. Борьба с этой тенденцией требует смещения фокуса с отслеживания изменяющихся индикаторов компрометации (IOC) на выявление и блокирование устойчивых поведенческих паттернов, таких как темы фишинговых приманок и последовательности использования легитимного ПО.
Индикаторы компрометации
SHA256
- 1a0769b8445cc27e2ddcdcee9a85a072c2be729e254f6c732548b0fb2bdfe0ef
- 22006710eaad12c4da19edaee4cb6fdd3c3face7e16bbcbd9e4f83eed7f3e7de
- 27c489d5239a3a25f51119b45b7be1ae8a38a153d708f983837d3c602bd367f8
- 429cbc557b1a9c8ceddab06b12b0fc3fc03c2908bb9ccd5ec8d2b386ccdb679a
- 42ef97c8260f9f287ead7b978378de2f27056f23dc513de5f36819159bfe5ebe
- 499d07894f730fb685ee3cbfc1a933e0da93750c1ed25a49b2eb9c32adef156a
- 6cc665057c4a4fe42a309afd3a7fa96cf1af126e9c6e08e56df5105e05378bcc
- 79f25a73e056ecb8aebf36c593ad1826cefa31346a2feca1ba3ed395453c9c48
- 83a8c175cdab60d043759ea04d62ac10a147d0b00e7a610f35e4939873416adc
- a93c946c237b981189d2668d938a9d4d1d9681757e48dae8d9d65ed25b5da657
- ae5afb20bc1455322c089eed22c81facb19195ed816bb52b0f405a62fd92dda7
- b775f42c9d280b115ac0aeb168186583f93d94a19a29b7fac8c5e2c98c986bdd
- bc8b1b0c80512ba0e8ffccfee5b507df16a3355db1143c3ba81ef42dac1baa6c
- bfa9c3298a749c8949f890ef02b4d07589bea1635150d57215b2f37b6f3acef0
- ca9ac952feaaa5cbbbdea15716ee2acd3b1072f01156b5d2fb35066703de6955
- db341aaa9cd902b1917b70986832b96325cba577930269bcf759a20404f1d90b
- ebc81a8f91d9b18c7d642bfdcf5f8e26d8921d4501e44e1603c0b67666d8c3e1
- ec2bdcd616d9dcfbb9bff53d9649c4456823b7384aef65ad1838b5a9fc69e879
- f2c0c09f4871621ce6dc0cc98dbeba596f08453dd6bdc1f001f26449b1eddfb3
