Исследователи из организации KnowBe4 Threat Labs раскрыли детали сложной двухвекторной фишинговой кампании, направленной на компрометацию корпоративных сетей. Основная цель злоумышленников заключается в использовании украденных учетных данных для развертывания полностью легитимного программного обеспечения для удаленного мониторинга и управления (RMM). Эта стратегия наглядно демонстрирует концепцию «вооружения необходимых IT-инструментов», когда доверенное программное обеспечение используется в качестве бэкдора для обхода традиционных периметров безопасности.
Эксперты по кибербезопасности Дживан Сингх Джалал, Прабхакаран Равичандхиран и Ананд Бодке провели детальный анализ инцидента. Они установили, что использование подлинных цифровых подписей и коммерческого софта позволяет атакующим скрывать свою деятельность от стандартных систем обнаружения угроз, которые обычно ищут известное вредоносное ПО, а не авторизованные утилиты администрирования.
Первая фаза атаки начинается с рассылки поддельных электронных писем, тщательно замаскированных под приглашения от бренда Greenvelope. Пользователи, введенные в заблуждение легитимным видом писем, переходят по фишинговой ссылке. На этом этапе главной задачей преступников является сбор учетных данных от популярных почтовых сервисов: Microsoft Outlook, Yahoo! и .
После успешного хищения логинов и паролей, которые выступают в роли «универсального ключа», злоумышленники переходят ко второй фазе операции. Используя полученный доступ, они разворачивают на скомпрометированных хостах программное обеспечение LogMeIn Resolve (ранее известное как GoTo Resolve). Это приложение предназначено для легального администрирования, однако в данном контексте оно обеспечивает хакерам устойчивый удаленный доступ к системе жертвы.
Технический анализ полезной нагрузки выявил использование двоичного файла с расширением.exe. Важной особенностью данного файла является наличие действительного цифрового сертификата, что значительно повышает доверие к исполняемому коду со стороны операционной системы. Внутри бинарного файла содержится конфигурация в формате JSON, управляющая процессом установки.
Программа действует как проводник для скрытой инсталляции RMM-инструмента. В процессе работы она инициирует соединение с URL-адресом, контролируемым злоумышленниками, без какого-либо уведомления пользователя. Весь процесс происходит в фоновом режиме, минимизируя вероятность обнаружения жертвой подозрительной активности.
Для обеспечения постоянного присутствия в системе атакующие применяют методы изменения конфигурации Windows. В частности, настройки служб модифицируются таким образом, чтобы обеспечить процессу неограниченный доступ к ресурсам операционной системы. Это позволяет злоумышленникам выполнять любые действия на зараженной машине с высокими привилегиями.
Дополнительный уровень устойчивости атаки обеспечивается через создание скрытых запланированных задач. Эти задачи запрограммированы на автоматический перезапуск программы LogMeIn Resolve в случае, если пользователь попытается вручную завершить процесс или перезагрузит компьютер. Таким образом, канал связи с командным центром восстанавливается автоматически.
Специалисты по безопасности подчеркивают, что традиционные методы защиты могут быть неэффективны против подобной тактики. Организациям рекомендуется внедрять мониторинг, специально настроенный на выявление несанкционированных установок RMM-софта, а также анализировать аномальные паттерны использования легитимных инструментов удаленного доступа в корпоративной сети.
Изображение носит иллюстративный характер
Эксперты по кибербезопасности Дживан Сингх Джалал, Прабхакаран Равичандхиран и Ананд Бодке провели детальный анализ инцидента. Они установили, что использование подлинных цифровых подписей и коммерческого софта позволяет атакующим скрывать свою деятельность от стандартных систем обнаружения угроз, которые обычно ищут известное вредоносное ПО, а не авторизованные утилиты администрирования.
Первая фаза атаки начинается с рассылки поддельных электронных писем, тщательно замаскированных под приглашения от бренда Greenvelope. Пользователи, введенные в заблуждение легитимным видом писем, переходят по фишинговой ссылке. На этом этапе главной задачей преступников является сбор учетных данных от популярных почтовых сервисов: Microsoft Outlook, Yahoo! и .
После успешного хищения логинов и паролей, которые выступают в роли «универсального ключа», злоумышленники переходят ко второй фазе операции. Используя полученный доступ, они разворачивают на скомпрометированных хостах программное обеспечение LogMeIn Resolve (ранее известное как GoTo Resolve). Это приложение предназначено для легального администрирования, однако в данном контексте оно обеспечивает хакерам устойчивый удаленный доступ к системе жертвы.
Технический анализ полезной нагрузки выявил использование двоичного файла с расширением.exe. Важной особенностью данного файла является наличие действительного цифрового сертификата, что значительно повышает доверие к исполняемому коду со стороны операционной системы. Внутри бинарного файла содержится конфигурация в формате JSON, управляющая процессом установки.
Программа действует как проводник для скрытой инсталляции RMM-инструмента. В процессе работы она инициирует соединение с URL-адресом, контролируемым злоумышленниками, без какого-либо уведомления пользователя. Весь процесс происходит в фоновом режиме, минимизируя вероятность обнаружения жертвой подозрительной активности.
Для обеспечения постоянного присутствия в системе атакующие применяют методы изменения конфигурации Windows. В частности, настройки служб модифицируются таким образом, чтобы обеспечить процессу неограниченный доступ к ресурсам операционной системы. Это позволяет злоумышленникам выполнять любые действия на зараженной машине с высокими привилегиями.
Дополнительный уровень устойчивости атаки обеспечивается через создание скрытых запланированных задач. Эти задачи запрограммированы на автоматический перезапуск программы LogMeIn Resolve в случае, если пользователь попытается вручную завершить процесс или перезагрузит компьютер. Таким образом, канал связи с командным центром восстанавливается автоматически.
Специалисты по безопасности подчеркивают, что традиционные методы защиты могут быть неэффективны против подобной тактики. Организациям рекомендуется внедрять мониторинг, специально настроенный на выявление несанкционированных установок RMM-софта, а также анализировать аномальные паттерны использования легитимных инструментов удаленного доступа в корпоративной сети.
