CISA, NSA ve MS-ISAC bugün ortak bir danışmanlıkta saldırganların kötü niyetli amaçlar için giderek daha fazla meşru uzaktan izleme ve yönetim (RMM) yazılımını kullandıkları konusunda uyardı.
Daha endişe verici bir şekilde, CISA, Ekim 2022 ortasında sessiz bir itme raporunun yayınlanmasından sonra Einstein saldırı tespit sistemini kullanarak birden fazla Federal Sivil İcra Şubesi (FCEB) ajanslarının ağlarında kötü niyetli faaliyetler keşfetti.
Bu etkinlik, Silent Push tarafından bildirilen "yaygın, finansal olarak motive edilmiş kimlik avı kampanyası" ile bağlantılıydı ve Eylül 2022'nin ortalarında tek bir FCEB ağında ilk kez tespit edildikten sonra "diğer birçok FCEB ağı" da tespit edildi.
Bu kampanyanın arkasındaki saldırganlar, Federal personel hükümetine ve en azından 2022 yılının ortalarından beri kişisel e-posta adreslerine yardım masası temalı kimlik avı göndermeye başladı.
"Yazarlık kuruluşları, en az Haziran 2022'den bu yana, siber suçlu aktörlerin FCEB federal personelinin kişisel ve hükümet e-posta adreslerine yardım masası temalı kimlik avı e-postaları gönderdiğini değerlendiriyor."
"E-postalar ya 'birinci aşama' kötü niyetli bir alan için bir bağlantı içerir ya da alıcıları siber suçluları aramaya teşvik eder, bu da alıcıları birinci aşama kötü amaçlı alan adını ziyaret etmeye ikna etmeye çalışır."
Bu kampanyada FCEB personelini hedefleyenler gibi geri arama kimlik avı saldırıları, 2021'in ilk çeyreğinden bu yana% 625 büyük bir büyüme gördü ve fidye yazılımı çeteleri tarafından da benimsenmiştir.
Bu gruplar, Silent Ransom Grubu, Quantum (şimdi Dagon Locker) ve Royal gibi Conti siber suç operasyonundan ayrılanları içerir.
Normal kimlik avı e -postalarının aksine, geri arama kimlik avı saldırıları bir tehdit oyuncusu web sitesine bağlantı içermez. Bunun yerine, bir hedefi listelenen bir telefon numarasını çağırmaya ikna etmek için yüksek fiyatlı abonelik yenilemeleri gibi lures kullanırlar.
Bir hedef numarayı aradığında, yenileme fiyatını iade etmek için gereken yazılımı indirmek için bir web sitesi açmaları söylenir.
E-postalar kötü niyetli bağlantıları gömdüğünde, kullanılan kimlik avı alanları Microsoft, Amazon ve PayPal dahil olmak üzere yüksek profilli markaları taklit etmek için tasarlanmıştır.
Gömülü bağlantıları tıklamak varsayılan web tarayıcısını açar ve ANYDESK ve Saldırganların RMM sunucusuna bağlanan Taşınabilir Sürümlerini indirmek için ikinci aşamalı bir etki alanına bağlanmak üzere tasarlanmış kötü amaçlı yazılımları otomatik olarak indirir.
Taşınabilir uzak masaüstü yazılım yürütülebilir ürünlerinin kullanılması, kötü amaçlı aktörlerin yönetici izinleri veya tam bir yazılım kurulumu gerektirmeden hedeflerin sistemlerine yerel bir kullanıcı olarak erişebilmelerini sağlar, böylece yazılım kontrollerini atlar ve ortak risk yönetimi varsayımlarına meydan okur.
Hedeflerinin cihazlarında bir dayanak almayı başardıklarında, tehdit aktörleri, geri ödeme dolandırıcılığı başlatabilmeleri için kurbanları banka hesaplarına oturum açmaya çalışmak için erişimlerini kullandılar.
Danışman, "Bu özel faaliyetin finansal olarak motive olmuş gibi görünse de bireyleri hedefliyor gibi görünse de, erişim, alıcının organizasyonuna karşı hem diğer siber suçlular hem de APT aktörlerinden ek kötü niyetli faaliyetlere yol açabilir." Diyor.
NSA, "Kötü niyetli siber aktörler, hem iş hem de ev cihazlarında ve hesaplarında Ulusal Güvenlik Sistemleri (NSS), Savunma Bakanlığı (DOD) ve Savunma Sanayi Üssü (DIB) ağlarını hedeflemek ve meşru RMM yazılımını kullanmak için aynı tekniklerden yararlanabilir. katma.
Savunucular, CISA, NSA ve MS-ISAC tarafından potansiyel sömürü veya uzlaşmayı tespit etmek için danışma ile paylaşılan uzlaşma göstergelerini kullanmaya teşvik edilir.
Kampanyada kullanılan birinci aşama alan adları, BT'de yaygın olarak kullanılan adlandırma kalıplarını takip eder/destek/destek temalı sosyal mühendislik dolandırıcılığı: myhelpcare [.] Çevrimiçi. myhelpcare [.] cc, hservice [.] Live, gscare [.] Live, nhelpcare [.] Bilgi, DeskCareme [.] Live, nhelpcare [.] cc, win03 [.] xyz, win01 [.] xyz, 247cure [ .]biz.
BleepingComputer tarafından görülen bu kampanyadaki bir başka etkin alan WinbackUp01 [.] XYZ'dir.
CISA, ağ savunucularını, kalıcılık ve/veya komuta ve kontrol için bir arka kapı olarak kullanılması da dahil olmak üzere, RMM kullanan ek kötü amaçlı etkinlik türlerinin tehdidini vurgulayan uzlaşma, en iyi uygulamalar ve önerilen azaltma göstergeleri için danışmanlığı gözden geçirmeye teşvik eder (C2) . - Cisa
Ayrıca, bu tür risklerin azaltılmasına yardımcı olmak ve ağların gelen saldırı girişimlerinden güvende olmasını sağlamak için tasarlanmış önlemlerin bir listesini sundular.
Potansiyel güvenlik ihlallerine karşı korunmak için şirketler ve kuruluşlar yüklü uzaktan erişim araçlarını denetlemeli ve yetkili RMM yazılımını tanımlamalıdır.
Yetkisiz RMM yazılımının yürütülmesini önlemek ve yalnızca VPN veya VDI gibi onaylanmış uzaktan erişim çözümleri üzerinde yetkili RMM yazılımlarını kullanmak için uygulama kontrollerinin kullanılması da standart RMM bağlantı noktalarında ve protokollerde hem gelen hem de giden bağlantıları engelliyor.
Güvenliği daha da artırmak için kuruluşlar, çalışanları arasında kimlik avı ve spearfishing e -postaları ile bağlantılı riskler konusunda farkındalığı artırmak için eğitim programları ve kimlik avı tatbikatları uygulamalıdır.
CISA, saldırılarda sömürülen kritik yönetilen rce hatası konusunda uyarıyor
CISA, ajanslara fidye yazılımı çetesi tarafından kötüye kullanılan borsa hatası yapmasını emreder
NSA, 5G ağ dilimleme tehditlerini azaltmaya ilişkin ipuçlarını paylaşıyor
CISA, ajanslara 26 Aralık'a kadar istismar edilmiş Google Chrome Bug'ı yamaya sipariş ediyor
FBI: Küba fidye yazılımı 100'den fazla kurbandan 60 milyon dolarlık tırmıkladı
Kaynak: Bleeping Computer