Egy friss kampány jól mutatja, mennyire veszélyes lehet egy internetre kitett távoli menedzsment rendszer sebezhetősége. A támadók a SimpleHelp RMM egyik kritikus hibáját kihasználva jutottak be a környezetbe, majd egy JavaScript-alapú loadert, végül pedig a Djinn Stealert telepítették a célgépekre. A támadás nem egyetlen rosszindulatú fájlról szólt, hanem egy többlépcsős fertőzési láncról, amelyben a kezdeti hozzáférés után gyorsan következett az adatgyűjtésre alkalmas payload.
A SimpleHelp önmagában is érzékeny pontja egy szervezetnek, hiszen távoli supportot és adminisztrációt biztosít a menedzselt gépek felett. Ha egy ilyen rendszer sérül, a támadó nem csupán egy alkalmazásba jut be, hanem gyakran egy teljes végpont- és jogosultsági láncot tud megmozgatni. A mostani ügyben a sérülékenység az autentikációs folyamatot érinti, és bizonyos esetekben lehetővé teheti jogosultság nélküli hozzáférés vagy egy privilegizált technikusi fiók létrehozását.
A támadók egy TaskWeaver nevű loadert használtak, amely JavaScript-alapon működik, gépazonosítást végez, majd a vezérlőszerverről további kódot tölt le és futtat. Ez a megoldás jóval rugalmasabb, mint egy egyszeri dropper, és jobban illik ahhoz a támadói modellhez, ahol a komponenseket szétválasztják, hogy a detekciót nehezebb legyen végrehajtani. A lánc végén a Djinn Stealer jelent meg, amely a credential theft és az adatlopás célt szolgálta. A malware több platformon is működik, így Windows mellett macOS és Linux rendszereken is képes érzékeny információkat gyűjteni.
A kampány egyik tanulsága, hogy a támadók ma már nem feltétlenül nagy malware családokkal dolgoznak, hanem kisebb, láncszerűen felépített komponenseket használnak.
Összességében ez a kampány egy modern, jól szervezett támadási láncot mutat be. Sérülékeny menedzsmentszerver, JS-alapú loader, majd többplatformos stealer. A támadók egyre inkább a rugalmas, moduláris fertőzési modellek felé mozdulnak, ahol a hangsúly a gyors hozzáférésen, az adatlopáson és a lehető legkevesebb feltűnésen van.
A védekezés kulcsa ennél az osztálynál:
- A menedzsmentszervereket időben kell frissíteni
- Az interneten elérhető adminfelületeket minimalizálni kell
- A távoli hozzáféréseket szigorúan kontrollálni szükséges
Ha egy RMM rendszer sérülékeny, az egész szervezet támadási felülete hirtelen sokkal nagyobbra nyílik.