Najmanje dvije savezne agencije u SAD-u postale su žrtva “široko rasprostranjene sajber kampanje” koja je uključivala korištenje legitimnog softvera za daljinsko praćenje i upravljanje (RMM) kako bi se nastavila phishing prijevara.
“Konkretno, cyber kriminalci su slali phishing email-ove koji su doveli do preuzimanja legitimnog RMM softvera, ScreenConnect (sada ConnectWise Control) i AnyDesk, koje su akteri koristili u prevari s povratom novca da ukradu novac sa bankovnih računa žrtve,” saopštile su američke vlasti za kibernetičku bezbjednost.
Zajednički savjet dolazi od Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), Agencije za nacionalnu sigurnost (NSA) i Centra za razmjenu informacija i analizu više država (MS-ISAC).
Napadi, koji su se desili sredinom juna i sredinom septembra 2022. godine, imaju finansijske motive, iako bi akteri pretnji mogli da iskoriste neovlašćeni pristup za provođenje širokog spektra aktivnosti, uključujući prodaju tog pristupa drugim hakerskim ekipama.
Upotreba udaljenog softvera od strane kriminalnih grupa već dugo predstavlja zabrinutost jer nudi efikasan put za uspostavljanje lokalnog korisničkog pristupa na host-u bez potrebe za podizanjem privilegija ili dobivanjem uporišta na drugi način.
U jednom slučaju, akteri prijetnje su poslali phishing email sa telefonskim brojem na državnu adresu email-a zaposlenika, navodeći pojedinca na malicioznu domenu. Email-ovi, kako je rekla CISA, dio su napada socijalnog inženjeringa s temom službe za pomoć koje su organizirali akteri prijetnji od najmanje juna 2022. godine usmjerenih na federalne zaposlenike.
Poruke koje se odnose na pretplatu ili sadrže lažnu domenu “prve faze” ili se upuštaju u taktiku poznatu kao phishing povratnog poziva kako bi se primaoce navela da pozovu telefonski broj koji kontrolira akter kako bi posjetili istu domenu.
Bez obzira na pristup koji se koristi, maliciozna domena pokreće preuzimanje binarne datoteke koja se zatim povezuje s domenom druge faze kako bi dohvatila RMM softver u obliku prenosivih izvršnih datoteka.
Krajnji cilj je iskoristiti RMM softver za pokretanje prevare s povratom novca. To se postiže tako što se žrtvama daje uputstva da se prijave na svoje bankovne račune, nakon čega akteri modifikuju sažetak bankovnog računa kako bi izgledalo kao da je osobi greškom vraćen višak novca.
U završnom koraku, operateri prevare pozivaju primaoce email-a da refundiraju dodatni iznos, efektivno ih varajući za svoja sredstva.
CISA je tu aktivnost pripisala “velikoj trojanskoj operaciji” koju je otkrila firma za sajber sigurnost Silent Push u oktobru 2022. godine. Uz to, slične metode telefonske isporuke napada usvojili su drugi akteri, uključujući Lunu Moth (aka Silent Ransom).
“Ova kampanja naglašava prijetnju maliciozne cyber aktivnosti povezane s legitimnim RMM softverom. Nakon što dobiju pristup ciljnoj mreži putem phishinga ili drugih tehnika, maliciozni cyber akteri, od kibernetičkih kriminalaca do APT-a koje sponzoriše nacionalna država, znaju da koriste legitimni RMM softver kao backdoor za uporište i/ili komandu i kontrolu (C2)“, upozorile su agencije.
Izvor: The Hacker News