Киберпреступники недавно взломали федеральные агентства США, используя программное обеспечение для удаленного мониторинга и управления (RMM) в рамках широкомасштабной кампании.
Вредоносная кампания началась в июне 2022 года или ранее и была обнаружена через несколько месяцев, согласно бюллетеню Агентства кибербезопасности и безопасности инфраструктуры США (CISA), Агентства национальной безопасности (АНБ) и Межгосударственного управления по обмену и анализу информации. Центр (МС-ИСАК).
В октябре 2022 года CISA «выявила широкомасштабную киберкампанию, связанную со злонамеренным использованием законного программного обеспечения RMM. В частности, киберпреступники отправляли фишинговые электронные письма, которые приводили к загрузке законного программного обеспечения RMM — ScreenConnect (теперь ConnectWise Control) и AnyDesk — которое злоумышленники использовали в мошенничестве с возвратом денег для кражи денег с банковских счетов жертвы».
CISA отметила, что, хотя мотив, по-видимому, был финансовым, хакеры могли перепродать доступ киберпреступникам или группам APT, которые «известны тем, что используют законное программное обеспечение RMM в качестве бэкдора для сохранения и/или управления и контроля (C2)».
Широкая кампания
С помощью своей системы обнаружения вторжений EINSTEIN CISA определила, что в середине июня 2022 года злоумышленники отправили фишинговое электронное письмо, содержащее номер телефона, на адрес электронной почты государственного служащего. Сотрудник позвонил по номеру телефона, указанному в электронном письме, и ему сказали посетить вредоносный веб-сайт, который привел к загрузке законного программного обеспечения RMM.
В середине сентября 2022 года был обнаружен трафик между сетью федеральной гражданской исполнительной власти (FCEB) и этим сайтом.
«Основываясь на дальнейшем анализе EINSTEIN и поддержке реагирования на инциденты, CISA выявила соответствующую активность во многих других сетях FCEB», — говорится в бюллетене, отмечая, что эта активность является частью широко распространенной финансово мотивированной фишинговой кампании.
Фишинговые электронные письма либо ссылаются на вредоносный сайт, либо направляют получателя позвонить по номеру телефона, чтобы связаться со «службой поддержки», откуда злоумышленники советуют им посетить вредоносный сайт. Посещение сайта вызывает загрузку исполняемого файла, который затем загружает программное обеспечение RMM.
Во время атаки в июне 2022 года злоумышленники использовали свой доступ через программное обеспечение RMM, чтобы изменить сводку банковского счета жертвы. «Ложно измененная сводка банковского счета показала, что получателю по ошибке была возвращена избыточная сумма денег», — говорится в бюллетене. «Затем актеры проинструктировали получателя «возместить» эту избыточную сумму мошеннику».
Злоупотребление программным обеспечением RMM
CISA заявила, что кампания «подчеркивает угрозу злонамеренной киберактивности, связанной с законным программным обеспечением RMM».
Майк Уолтерс, вице-президент по исследованию уязвимостей и угроз в Action1, сказал, что поставщики RMM должны делать больше для предотвращения злоупотреблений их решениями. «Сложность заключается в том, что вредоносная активность такого типа не всегда очевидна для поставщика», — сказал он. «Но, тем не менее, можно обнаружить попытки хакеров злоупотребить решением и прекратить деятельность до того, как они достигнут своих целей».
«Индикаторы того, что злоумышленники используют ваш инструмент, могут заключаться в том, что кто-то настраивает учетную запись через несколько минут после создания связанного домена электронной почты администратора или регулярно удаляет все конечные точки в учетной записи и заменяет их совершенно новым набором устройств», — добавил Уолтерс. «Другой пример незаконной деятельности — когда кто-то развертывает агент RMM, скажем, на 100 конечных точках в 100 разных доменах AD».
Защита от злоупотреблений RMM
Эрфан Шадаби, эксперт по кибербезопасности в comforte AG, сказал, что компаниям необходимо создать организационную культуру, которая ценит конфиденциальность данных и побуждает сотрудников не торопиться и учитывать последствия, прежде чем действовать в соответствии с запросами на конфиденциальную информацию.
«Если бизнес-лидеры смогут поддержать инициативы, которые помогут сотрудникам не торопиться, чтобы поступать правильно, тогда культура конфиденциальности и безопасности данных станет намного сильнее», — сказал Шадаби.
Рекомендованные правительством меры по смягчению последствий включают следующее:
Внедрите лучшие практики для блокировки фишинговых писем.
Аудит инструментов удаленного доступа для выявления используемого в настоящее время и/или авторизованного программного обеспечения RMM.
Просмотрите журналы выполнения программного обеспечения RMM, чтобы обнаружить ненормальное использование программ, работающих как переносимый исполняемый файл.
Используйте программное обеспечение безопасности для обнаружения экземпляров программного обеспечения RMM, загружаемого только в память.
Внедрите элементы управления приложениями для управления и контроля выполнения программного обеспечения, включая внесение программ RMM в белый список.
Требуйте, чтобы авторизованные решения RMM использовались только внутри вашей сети поверх одобренных решений удаленного доступа, таких как VPN или VDI.
Блокируйте входящие и исходящие соединения на общих портах и протоколах RMM по периметру сети.
Внедрите программу обучения пользователей и учения по фишингу, чтобы повысить осведомленность пользователей.
