Legitim távoli asztal eszközökkel törik fel a szövetségi ügynökségek rendszereit

A CISA, az NSA, valamint az MS-ISAC közösen figyelmeztet arra, hogy a támadók egyre gyakrabban használnak törvényes és jogtiszta távoli megfigyelő- és felügyeleti (RMM) szoftvereket a támadások során.

A CISA – a 2022. október közepén kiadott Silent Push jelentés megjelenése után – rosszindulatú tevékenységet fedezett fel több szövetségi ügynökség (FCEB) hálózatán az EINSTEIN behatolás-észlelő rendszer segítségével. A jelentés a széles körben elterjedt, elsősorban anyagi haszonszerzés érdekében elkövetett adathalász kampányokról szólt, amely közül felfedezték, hogy 2022. szeptember közepén egy FCEB hálózat is érintett volt a kampányban.

A figyelmeztetés szerint a támadók 2022 júniusa óta help desk témájú adathalász e-maileket küldözgettek az érintett szövetségi ügynökség alkalmazottainak szervezeti e-mail címére. Az e-mailek rosszindulatú linket tartalmaztak, illetve előfordult az is, hogy a levélben arra kérték az áldozatokat, hogy hívják fel a help desk munkatársainak álcázott kiberbűnözőket, akik ezután szóban igyekeztek rávenni az alkalmazottak a káros domain felkeresésére.

A visszahívást kérő adathalász támadások jelentős, 625%-os növekedést mutatnak 2021 első negyedéve óta, ami részben annak is köszönhető, hogy már a zsarolóvírus csoportok is előszeretettel alkalmazzák ezt a módszert.

Az ilyen jellegű támadásokban nem rejtenek káros hivatkozásokat az e-mailekben, helyette valamilyen csalival, például magasabb költségű előfizetés-megújítással veszik rá a célszemélyeket egy megadott telefonszám felhívására. A hívás során egy automata rendszer felszólítja az áldozatot, hogy látogasson meg egy adott weboldalt, ahonnan letöltheti – a fenti példánál maradva – az előfizetés-meghosszabbítással járó költségek visszatérítéséhez szükséges szoftvert.

Az áldozatok által meglátogatott weboldalakon beágyazott rosszindulatú hivatkozások helyén olyan népszerű márkák kerültek megszemélyesítésre, mint a Microsoft, Amazon és PayPal. A hivatkozásokra kattintva megnyílik egy alapértelmezett böngésző ablak, ami automatikusan letölti az AnyDesk és a ScreenConnect egy hordozható verzióját, amivel aztán csatlakoznak majd a támadók RMM kiszolgálójához. A távoli hozzáférésű szoftverek lehetővé teszik az elkövetők számára, hogy helyi felhasználóként hozzáférjenek az áldozat rendszeréhez anélkül, hogy rendszergazdai engedélyre vagy szoftvertelepítésre lenne szükségük. A sikeres hozzáférés megszerzését követően a támadók igyekeznek rávenni az áldozatokat, hogy bejelentkezzenek a banki fiókjukba.

Bár jelen rosszindulatú kampány főként anyagi haszonszerzésre fókuszál és elsősorban magánszemélyeket céloz, az NSA arra hívja fel a figyelmet, hogy semmi sem zárja ki, hogy a támadók a későbbiekben ne használnák fel a megszerzett hozzáféréseket az áldozatok szervezetei ─ akár nemzetbiztonsági szervek ─ ellen is, például további káros programok letöltésére. Sőt a támadók ugyanezzel a támadási módszerrel célba vehetik a Nemzetbiztonsági Rendszerek (NSS), a Védelmi Minisztérium (DoD) és a Defense Industrial Base (DIB) hálózatait is.

A kampányban használt IT súgó/támogatás témájú megtévesztő üzenetekben az alábbi indikátorokat azonosították: myhelpcare[.]online. myhelpcare[.]cc, hservice[.]live, gscare[.]live, nhelpcare[.]info, deskcareme[.]live, nhelpcare[.]cc, win03[.]xyz, win01[.]xyz, 247secure[.]us, illetve a BleepingComputer is azonosított egy másik kampányban alkalmazott domaint, a: winbackup01[.]xyz.

A szervezeteknek mindenképp javasolt ellenőrizniük a már telepített RMM szoftvereiket, illetve ajánlott végigmenniük a CISA által közreadott, az RMM eszközöket kihasználó rosszindulatú tevékenységek megelőzéséhez és mérsékléséhez szükséges védelmi intézkedések listáján is.

(bleepingcomputer.com)