Ομάδες που δραστηριοποιούνται στον χώρο του ransomware έχουν αρχίσει να εκμεταλλεύονται το νόμιμο λογισμικό παρακολούθησης υπαλλήλων Kickidler, προκειμένου να χαρτογραφήσουν τα εσωτερικά δίκτυα θυμάτων, να παρακολουθήσουν τη δραστηριότητά τους μετά την παραβίαση και να αποσπάσουν κρίσιμα διαπιστευτήρια.
Σύμφωνα με τις εταιρείες κυβερνοασφάλειας Varonis και Synacktiv, οι εγκληματικές ομάδες Qilin και Hunters International φέρονται να χρησιμοποίησαν το Kickidler σε επιθέσεις. Το Kickidler επιτρέπει, μεταξύ άλλων, την καταγραφή πληκτρολογήσεων, τη λήψη στιγμιότυπων οθόνης και την εγγραφή βίντεο από την επιφάνεια εργασίας.
Ο κατασκευαστής του Kickidler αναφέρει ότι το λογισμικό του χρησιμοποιείται νόμιμα από περισσότερες από 5.000 επιχειρήσεις σε 60 χώρες, κυρίως για σκοπούς επιτήρησης και πρόληψης διαρροής δεδομένων.
Δείτε επίσης: Η Play ransomware εκμεταλλεύεται ελάττωμα Windows σε επιθέσεις zero-day
Ransomware επιθέσεις
Το αρχικό στάδιο των επιθέσεων περιλάμβανε παραπλάνηση χρηστών μέσω ψευδών διαφημίσεων Google Ads για το RVTools – ένα δημοφιλές δωρεάν εργαλείο διαχείρισης για VMware περιβάλλοντα. Οι διαφημίσεις οδηγούσαν σε παραπλανητικό ιστότοπο (rv-tool[.]net), ο οποίος διέθετε μια τροποποιημένη (trojanized) έκδοση του λογισμικού.
Το συγκεκριμένο πρόγραμμα λειτουργούσε ως malware loader, ο οποίος κατέβαζε και ενεργοποιούσε ένα κακόβουλο PowerShell .NET backdoor, γνωστό ως SMOKEDHAM. Μέσω αυτού γινόταν η εγκατάσταση του Kickidler στους στόχους.
Οι επιθέσεις επικεντρώθηκαν κυρίως σε διαχειριστές IT, των οποίων οι λογαριασμοί συχνά διαθέτουν αυξημένα δικαιώματα πρόσβασης. Η Varonis εκτιμά ότι οι δράστες διατηρούσαν πρόσβαση στα συστήματα για αρκετές ημέρες ή ακόμη και εβδομάδες, περιμένοντας την κατάλληλη στιγμή για να αποκτήσουν διαπιστευτήρια που θα τους επέτρεπαν να έχουν πρόσβαση σε αντίγραφα ασφαλείας εκτός σύνδεσης.
“Καθώς οι κυβερνοεγκληματίες στοχεύουν ολοένα και περισσότερο σε backup συστήματα, οι αμυντικοί μηχανισμοί περιλαμβάνουν πλέον διαχωρισμό του backup system authentication από τα Windows domain. Αυτή η πρακτική αποτρέπει τους εισβολείς από το να αποκτήσουν πρόσβαση σε backup ακόμα κι αν έχουν στα χέρια τους ισχυρά Windows credentials“, δήλωσε εκπρόσωπος της Varonis στο BleepingComputer.
Δείτε επίσης: Η ομάδα LockBit ransomware υπέστη σοβαρή διαρροή δεδομένων
“Το Kickidler αντιμετωπίζει αυτό το ζήτημα καταγράφοντας πληκτρολογήσεις και ιστοσελίδες από το σταθμό εργασίας ενός διαχειριστή. Αυτό επιτρέπει στους εισβολείς να εντοπίζουν off-site αντίγραφα ασφαλείας στο cloud και να αποκτούν τους απαραίτητους κωδικούς πρόσβασης για πρόσβαση σε αυτά. Αυτό γίνεται χωρίς τακτικές υψηλού κινδύνου που είναι πιο πιθανό να εντοπιστούν“.
Και στις δύο περιπτώσεις, μετά την συνέχιση της κακόβουλης δραστηριότητας στα δίκτυα που παραβιάστηκαν, οι χειριστές ransomware ανέπτυξαν payloads που στόχευαν την υποδομή VMware ESXi των θυμάτων, κρυπτογραφώντας VMDK virtual hard disk drives και προκαλώντας αναστάτωση.
Το deployment script που χρησιμοποιήθηκε από την Hunters International αξιοποίησε το VMware PowerCLI και το WinSCP Automation για να ενεργοποιήσει την υπηρεσία SSH, να αναπτύξει το ransomware και να το εκτελέσει σε διακομιστές ESXi.
Τι κάνει ανησυχητική αυτή την απειλή;
- Κατάχρηση νόμιμου λογισμικού: Οι επιτιθέμενοι δεν χρειάζεται να αναπτύξουν εξεζητημένα malware. Αντίθετα, χρησιμοποιούν ευρέως διαδεδομένα και “νόμιμα” εργαλεία παρακολούθησης και RMM, τα οποία είναι δύσκολο να ανιχνευτούν από τα συστήματα ασφαλείας.
- Κοινωνική μηχανική: Η παραπλάνηση των χρηστών για να εγκαταστήσουν τέτοια εργαλεία (μέσω ψεύτικων ιστότοπων, πλαστών διαφημίσεων κ.λπ.) δείχνει υψηλό επίπεδο προετοιμασίας και αξιοποίηση της ανθρώπινης ευπάθειας, όχι απλώς τεχνικών αδυναμιών.
- Στοχοποίηση κρίσιμων συστημάτων: Η εστίαση σε backup υποδομές και συστήματα VMware ESXi υποδεικνύει πως οι εισβολείς δεν αρκούνται σε προσωρινή πρόσβαση, αλλά επιδιώκουν στρατηγικό έλεγχο, δυνατότητα εκβιασμού και πλήρη επιχειρησιακή παράλυση των θυμάτων.
- Αθόρυβη δράση και μακροχρόνια παραμονή: Η χρήση εργαλείων όπως το Kickidler επιτρέπει διακριτική παρακολούθηση για εβδομάδες, κάτι που ενισχύει τις δυνατότητες κατασκοπείας, συλλογής διαπιστευτηρίων και σχεδιασμού μιας πολυεπίπεδης επίθεσης.
Κατάχρηση νόμιμου λογισμικού παρακολούθησης από ransomware ομάδες
Αν και εργαλεία όπως το Kickidler δεν δημιουργήθηκαν για κακόβουλους σκοπούς, οι συμμορίες ransomware τα καταχρώνται. Μάλιστα, δεν είναι η πρώτη φορά που τέτοιες ομάδες χρησιμοποιούν εμπορικά λογισμικά απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) – είναι μια τεχνική που εφαρμόζουν εδώ και χρόνια, εκμεταλλευόμενες τα νόμιμα χαρακτηριστικά τους για επιθέσεις σε επιχειρήσεις.
Σε κοινή ανακοίνωσή τους τον Ιανουάριο του 2023, οι CISA, NSA και MS-ISAC προειδοποίησαν ότι εγκληματικές ομάδες πείθουν τα θύματά τους να εγκαταστήσουν portable remote desktop solutions. Με αυτόν τον τρόπο, καταφέρνουν να παρακάμπτουν ελέγχους ασφαλείας και να αποκτούν πρόσβαση στα συστήματα χωρίς να χρειάζονται δικαιώματα διαχειριστή.
Δείτε επίσης: Νέα παράκαμψη EDR “Bring Your Own Installer” χρησιμοποιείται σε επιθέσεις ransomware
Από τον Οκτώβριο του 2022, η CISA εντόπισε παρόμοιες ύποπτες ενέργειες και σε ομοσπονδιακά δίκτυα των ΗΠΑ, γεγονός που υποδηλώνει ότι η συγκεκριμένη μέθοδος έχει εφαρμοστεί ακόμα και σε κρίσιμες κρατικές υπηρεσίες.
Πρόσφατα, επιτιθέμενοι εκμεταλλεύτηκαν αδυναμίες στο λογισμικό απομακρυσμένης διαχείρισης SimpleHelp για να δημιουργήσουν admin λογαριασμούς, να εγκαταστήσουν backdoors και να ετοιμάσουν το έδαφος για ενδεχόμενες επιθέσεις ransomware.
Μέτρα προστασίας
Οι υπεύθυνοι ασφάλειας καλούνται να παρακολουθούν στενά όλα τα εργαλεία απομακρυσμένης πρόσβασης που είναι εγκατεστημένα στο δίκτυο του οργανισμού τους, ώστε να διασφαλίζουν ότι χρησιμοποιούνται μόνο εξουσιοδοτημένες λύσεις RMM.
Επιπλέον, η εφαρμογή πολιτικών που περιορίζουν την εκτέλεση μη εγκεκριμένου λογισμικού RMM θεωρείται απαραίτητη, όπως και η υποχρεωτική χρήση ελεγχόμενων μεθόδων απομακρυσμένης πρόσβασης (όπως VPN ή περιβάλλοντα VDI).
Τέλος, για ενίσχυση της προστασίας, συνίσταται ο αποκλεισμός inbound και outbound connections σε standard RMM θύρες και πρωτόκολλα.
Πηγή: www.bleepingcomputer.com
