Οι λειτουργίες Ransomware χρησιμοποιούν το λογισμικό παρακολούθησης των εργαζομένων Kickidler για αναγνώριση, παρακολουθώντας τη δραστηριότητα των θυμάτων τους και τη συγκομιδή διαπιστευτηρίων μετά την παραβίαση των δικτύων τους.
Σε επιθέσεις που παρατηρήθηκαν από εταιρείες στον κυβερνοχώρο Βάρονις και SynackTivQilin και Hunters International ransomware θυγατρικές εγκατεστημένες kickidler, Εργαλείο παρακολούθησης των εργαζομένων Αυτό μπορεί να συλλάβει πληκτρολογήσεις, να πάρει screenshots και να δημιουργήσει βίντεο της οθόνης.
Ο προγραμματιστής του Kickidler λέει ότι το εργαλείο χρησιμοποιείται από πάνω από 5.000 οργανισμούς από 60 χώρες και παρέχει οπτική παρακολούθηση και χαρακτηριστικά πρόληψης απώλειας δεδομένων.
Οι επιθέσεις ξεκίνησαν με τους ηθοποιούς απειλής που έλαβαν διαφημίσεις Google που εμφανίζονται όταν οι άνθρωποι αναζητούσαν το RVTools, ένα δωρεάν βοηθητικό πρόγραμμα Windows για τη διαχείριση των αναπτύξεων VMware vSphere. Κάνοντας κλικ στη διαφήμιση οδήγησε σε έναν ψεύτικο ιστότοπο RVTools (rv-tool[.]net), προώθηση μιας τροζανισμένης έκδοσης προγράμματος.
Το πρόγραμμα είναι ένας φορτωτής κακόβουλου λογισμικού που κατεβάζει και εκτελεί το Smokedham PowerShell .Net Backdoor, το οποίο χρησιμοποιήθηκε για την ανάπτυξη του Kickidler στη συσκευή.
.jpg)
Ενώ αυτές οι επιθέσεις στοχεύουν στους διαχειριστές των επιχειρήσεων, των οποίων οι λογαριασμοί θα παρέχουν συνήθως στους ηθοποιούς απειλής με προνομιούχα διαπιστευτήρια μετά από συμβιβασμό, ο Varonis πιστεύει ότι μπορεί να έχει διατηρήσει πρόσβαση στα συστήματα των θυμάτων για ημέρες και ακόμη και εβδομάδες για τη συλλογή των διαπιστευτηρίων που απαιτούνται για την πρόσβαση σε αντίγραφα ασφαλείας του cloud χωρίς να εντοπιστούν.
“Λαμβάνοντας υπόψη την αυξημένη στόχευση των λύσεων δημιουργίας αντιγράφων ασφαλείας από τους επιτιθέμενους τα τελευταία χρόνια, οι υπερασπιστές αποσυνδέουν τον έλεγχο ταυτότητας συστήματος από τους τομείς των Windows.
“Το Kickidler αντιμετωπίζει αυτό το ζήτημα καταγράφοντας τις πληκτρολογήσεις και τις ιστοσελίδες από τον σταθμό εργασίας ενός διαχειριστή, επιτρέπει στους επιτιθέμενους να εντοπίσουν τα αντίγραφα ασφαλείας του cloud εκτός τοποθεσίας και να αποκτήσουν τους απαραίτητους κωδικούς πρόσβασης.
Και στις δύο περιπτώσεις, μετά την επανάληψη της κακόβουλης δραστηριότητας στα παραβιαζόμενα δίκτυα, οι χειριστές ransomware αναπτύσσουν ωφέλιμα φορτία που στοχεύουν στην υποδομή ESXI των VMware των θυμάτων, κρυπτογραφώντας το VMDK Virtual Hard Disk Drives και προκαλώντας εκτεταμένη διαταραχή.
Το σενάριο ανάπτυξης που χρησιμοποιείται από την Hunters International μόχλεις VMware PowerCli και WinSCP αυτοματοποίηση για να επιτρέψει την υπηρεσία SSH, να αναπτύξει το ransomware και να την εκτελέσει σε διακομιστές ESXI, δήλωσε ο SynackTiv.
Το νόμιμο λογισμικό RMM κακοποιήθηκε σε επιθέσεις
Ενώ το λογισμικό παρακολούθησης των εργαζομένων δεν είναι το εργαλείο Go-to για συμμορίες ransomware, έχουν κακοποιήσει το λογισμικό νόμιμης απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) εδώ και χρόνια.
Καθώς η CISA, η NSA και η MS-ISAC προειδοποίησαν σε μια κοινή συμβουλευτική του Ιανουαρίου 2023, οι επιτιθέμενοι μέρος πολλών λειτουργιών ransomware εξαπατούν τα θύματα να εγκαταστήσουν φορητές λύσεις απομακρυσμένης επιφάνειας εργασίας για να παρακάμψουν τα στοιχεία ελέγχου του λογισμικού και να αναλάβουν τα συστήματα τους χωρίς να απαιτούν προνόμια διαχειριστή.
Από τα μέσα Οκτωβρίου 2022, η CISA ανακάλυψε επίσης κακόβουλη δραστηριότητα στα δίκτυα πολλαπλών ομοσπονδιακό πολιτικό εκτελεστικό υποκατάστημα (FCEB) Οι οργανισμοί που συνδέονται με αυτόν τον τύπο επίθεσης.
Πρόσφατα, οι επιτιθέμενοι έχουν δει να στοχεύουν τους ευάλωτους πελάτες SimpleHelp RMM για να δημιουργήσουν λογαριασμούς διαχειριστή, να εγκαταστήσουν backdoors και ενδεχομένως να θέσουν το σκηνικό για επιθέσεις ansomware Akira.
Για να υπερασπιστούν τις ενδεχόμενες παραβιάσεις ασφαλείας, οι υπερασπιστές του δικτύου συνιστώνται στον έλεγχο εγκατεστημένα εργαλεία απομακρυσμένης πρόσβασης και να εντοπίσουν εξουσιοδοτημένο λογισμικό RMM.
Συνιστάται επίσης να χρησιμοποιήσετε τα στοιχεία ελέγχου εφαρμογών για την πρόληψη της εκτέλεσης του μη εξουσιοδοτημένου λογισμικού RMM και την επιβολή της χρήσης μόνο εξουσιοδοτημένων εργαλείων απομακρυσμένης επιφάνειας εργασίας, μαζί με εγκεκριμένες λύσεις απομακρυσμένης πρόσβασης όπως VPN ή VDI.
Επιπλέον, οι ομάδες ασφαλείας θα πρέπει να εμποδίζουν τις εισερχόμενες και εξερχόμενες συνδέσεις σε τυπικές θύρες RMM και πρωτόκολλα, αν δεν χρησιμοποιηθούν.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
