ΑρχικήsecurityCISA: Κυβερνοεπιθέσεις εκμεταλλεύονται νόμιμο λογισμικό απομακρυσμένης παρακολούθησης

CISA: Κυβερνοεπιθέσεις εκμεταλλεύονται νόμιμο λογισμικό απομακρυσμένης παρακολούθησης

Σήμερα, η Εθνική Υπηρεσία Ασφαλείας (NSA), η Υπηρεσία Ασφάλειας Κυβερνοχώρου και Υποδομών (CISA) και το Multi-State Information Sharing and Analysis Center (MS-ISAC) προειδοποίησαν για μια αυξανόμενη τάση στις κυβερνοεπιθέσεις που χρησιμοποιούν νόμιμο λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM).

CISA

Η CISA αποκάλυψε κακόβουλη δραστηριότητα στα δίκτυα διαφόρων ομοσπονδιακών οργανισμών FCEB μέσω του συστήματος ανίχνευσης εισβολών EINSTEIN, μετά την έκδοση μιας έκθεσης της Silent Push στα μέσα Οκτωβρίου 2022.

Η κακόβουλη δραστηριότητα συνδέθηκε με μια “εκτεταμένη εκστρατεία phishing με οικονομικά κίνητρα” που αναφέρθηκε από τη Silent Push και εντοπίστηκε σε “πολλά άλλα δίκτυα FCEB“. Αρχικά, είχε εντοπιστεί σε ένα μόνο δίκτυο FCEB στα μέσα Σεπτεμβρίου 2022.

Δείτε επίσης: Riot Games hack: Σε δημοπρασία ο source code για το League of Legends

Οι επιτιθέμενοι πίσω από αυτήν την καμπάνια άρχισαν να στέλνουν μηνύματα phishing με θέμα το help desk στις προσωπικές και κυβερνητικές διευθύνσεις ηλεκτρονικού ταχυδρομείου του ομοσπονδιακού προσωπικού, τουλάχιστον από τα μέσα Ιουνίου 2022.

Σύμφωνα με την CISA και τις άλλες υπηρεσίες: “Τα emails αυτά είτε περιέχουν έναν σύνδεσμο προς ένα κακόβουλο domain “πρώτου σταδίου” είτε προτρέπουν τους παραλήπτες να καλέσουν τους εγκληματίες του κυβερνοχώρου, οι οποίοι στη συνέχεια προσπαθούν να πείσουν τους παραλήπτες να επισκεφτούν το κακόβουλο domain πρώτου σταδίου“.

Οι επιθέσεις phishing Callback, όπως αυτές που στοχεύουν τους τελευταίους μήνες το προσωπικό των οργανισμών FCEB, έχουν σημειώσει τεράστια ανάπτυξη (625%) και έχουν επίσης υιοθετηθεί από συμμορίες ransomware.

Σε αντίθεση με τα συνηθισμένα phishing μηνύματα, οι επιθέσεις phishing που χρησιμοποιούν τη μέθοδο Callback, δεν περιλαμβάνουν σύνδεσμο προς έναν κακόβουλο ιστότοπο. Αντίθετα, προσπαθούν να δελεάσουν τους χρήστες, με θέματα όπως ανανεώσεις συνδρομών, για να τους πείσουν να καλέσουν έναν αριθμό τηλεφώνου που υπάρχει στο email.

Όταν ένας στόχος καλεί τον αριθμό, θα του ζητηθεί να ανοίξει έναν ιστότοπο για να κατεβάσει το λογισμικό που απαιτείται για την επιστροφή χρημάτων για την τιμή ανανέωσης.

Στις περιπτώσεις που υπήρχε κακόβουλος σύνδεσμος στο email, τα phishing domains που χρησιμοποιήθηκαν υποδύονταν επωνυμίες υψηλού προφίλ, συμπεριλαμβανομένων των Microsoft, Amazon και Paypal.

Το κλικ στους ενσωματωμένους συνδέσμους οδηγούσε σε άνοιγμα του προεπιλεγμένου προγράμματος περιήγησης και σε αυτόματη λήψη κακόβουλου λογισμικού που έχει σχεδιαστεί για σύνδεση σε domain δεύτερου σταδίου για λήψη των portable εκδόσεων του AnyDesk και του ScreenConnect που συνδέονται με τον διακομιστή RMM των εισβολέων.

Δείτε επίσης: Windows CryptoAPI: Ευάλωτο σε επιθέσεις λόγω σοβαρού σφάλματος

Η χρήση portable remote desktop software εκτελέσιμων επιτρέπει σε κακόβουλους φορείς να αποκτήσουν πρόσβαση στα συστήματα των θυμάτων ως τοπικός χρήστης, χωρίς να απαιτούν δικαιώματα διαχειριστή ή πλήρη εγκατάσταση λογισμικού. Με αυτό τον τρόπο, οι εγκληματίες αποκτούν απομακρυσμένη πρόσβαση, παρακάμπτοντας τους ελέγχους λογισμικού.

Παραβίαση δικτύων FCEB

Μετά την απόκτηση πρόσβαση στις συσκευές των στόχων τους, οι επιτιθέμενοι προσπαθούν να εξαπατήσουν τα θύματα να συνδεθούν στους τραπεζικούς τους λογαριασμούς για να γίνει μια υποτιθεμένη επιστροφή χρημάτων.

Παρόλο που αυτή η συγκεκριμένη δραστηριότητα φαίνεται να έχει οικονομικά κίνητρα και να στοχεύει άτομα, η πρόσβαση θα μπορούσε να οδηγήσει σε πρόσθετη κακόβουλη δραστηριότητα εναντίον του οργανισμού του παραλήπτη—τόσο από άλλους κυβερνοεγκληματίες όσο και από φορείς APT“, αναφέρουν οι CISA, NSA και MS-ISAC.

Κακόβουλοι φορείς του κυβερνοχώρου θα μπορούσαν να αξιοποιήσουν αυτές τις ίδιες τεχνικές για να στοχεύσουν δίκτυα των National Security Systems (NSS), Υπουργείου Άμυνας (DoD) και Defense Industrial Base (DIB) και να χρησιμοποιήσουν νόμιμο λογισμικό RMM τόσο σε συσκευές εργασίας όσο και σε οικιακές συσκευές και λογαριασμούς“, πρόσθεσε η NSA.

Οι υπερασπιστές συστημάτων και δικτύων ενθαρρύνονται από τις CISA, NSA και MS-ISAC να χρησιμοποιούν τους δείκτες παραβίασης που κοινοποιούνται στο κοινό τους advisory για τον εντοπισμό πιθανής εκμετάλλευσης ή παραβίασης.

Η CISA ενθαρρύνει τους υπερασπιστές δικτύου να επανεξετάσουν τα advisories για δείκτες παραβίασης, βέλτιστες πρακτικές και συνιστώμενους μετριασμούς, τα οποία υπογραμμίζουν την απειλή πρόσθετων τύπων κακόβουλης δραστηριότητας με χρήση RMM, συμπεριλαμβανομένης της χρήσης του ως backdoor για persistence κλπ.

Έχει δημοσιευτεί, επίσης, μια λίστα με μέτρα που έχουν σχεδιαστεί για να βοηθήσουν στον μετριασμό τέτοιων κινδύνων.

Δείτε επίσης: Phishing scam: Αυστραλός καταδικάστηκε σε δύο χρόνια φυλάκιση

λογισμικό Κυβερνοεπιθέσεις
CISA: Κυβερνοεπιθέσεις εκμεταλλεύονται νόμιμο λογισμικό απομακρυσμένης παρακολούθησης

Για την προστασία από πιθανές παραβιάσεις της ασφάλειας, οι εταιρείες και οι οργανισμοί θα πρέπει να ελέγχουν τα εγκατεστημένα εργαλεία απομακρυσμένης πρόσβασης και να προσδιορίζουν το εξουσιοδοτημένο λογισμικό RMM.

Συνιστάται επίσης η χρήση στοιχείων ελέγχου εφαρμογών για την αποτροπή της εκτέλεσης μη εξουσιοδοτημένου λογισμικού RMM και η χρήση μόνο εξουσιοδοτημένου λογισμικού RMM μέσω εγκεκριμένων λύσεων απομακρυσμένης πρόσβασης.

Για να ενισχύσουν περαιτέρω την ασφάλεια, οι οργανισμοί θα πρέπει να παρέχουν εκπαίδευση στους υπαλλήλους τους, ώστε να μπορούν να αναγνωρίζουν τους κινδύνους και να αποφεύγουν phishing μηνύματα. Αν και κανείς δεν μπορεί να εγγυηθεί την απόλυτη προστασία από τέτοιου είδους απειλές, η εκπαίδευση, σε συνδυασμό με άλλα μέτρα όπως χρήση λογισμικού προστασία από ιούς και η ενημέρωση συστημάτων, βοηθούν σημαντικά στη μείωση του κινδύνου.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS