网络犯罪分子正越来越多地利用合法的远程监控和管理(RMM)工具,通过复杂的钓鱼活动建立对受感染系统的持久访问。
红雀情报公司与Zscaler威胁猎人联合开展的研究发现,多个恶意活动利用ITarian(又称Comodo)、PDQ、SimpleHelp和Atera这几款远程监控与管理解决方案作为攻击载体。
对于攻击者来说,远程监控与管理(RMM)工具的吸引力在于它们在企业环境中固有的合法性——IT专业人员通常会部署这些解决方案来进行远程访问、系统监控和机器管理。
这种真实性的伪装让威胁行为者能够秘密行动,而不会立即触发安全警报,因为他们的活动往往能与合法的管理任务无缝融合。
红雀(Red Canary)的分析师们发现了四种主要的社会工程学诱饵,这些诱饵已被证实能成功说服目标在其系统上下载恶意的远程监控与管理(RMM)工具。
这些包括虚假的浏览器更新、会议邀请、派对邀请以及欺诈性的政府表格。
研究人员还发现了一个令人担忧的趋势,即攻击者会接连快速部署两种远程监控和管理工具,从而有效地建立多种持久访问方式,以确保对已被入侵环境的持续控制。
这些攻击活动展示了复杂的目标定位机制,威胁行为者专门针对Windows桌面用户,同时过滤掉移动设备。
攻击基础设施包括命令和控制服务器,这些服务器收集浏览器指纹数据、地理位置指标和参与度指标,以优化攻击活动的效果。
高级感染机制与有效载荷交付
这些攻击的技术复杂性通过其多层感染机制体现得十分明显。
在虚假的浏览器更新活动中,攻击者会向已被攻陷的网站注入恶意JavaScript,发起全屏覆盖攻击。
注入的代码使用最大的z-index值(2147483647),以确保虚假的更新提示出现在所有其他页面元素之上,从而有效地将用户困在恶意界面中。
这个JavaScript有效载荷会动态创建iframe,从包括chromus[.]icu和mypanelsuper[.]online在内的可疑域名加载内容,同时通过多个备用URL保持冗余。
这种方法确保了即使个别域名被安全控制措施屏蔽,营销活动也能保持连续性。
这种恶意代码还具备数据窃取功能,会将浏览器指纹数据、地理位置标识以及唯一的追踪哈希值发送至命令与控制服务器。
一旦用户与这些诱饵交互,他们就会在不知不觉中下载合法的远程监控与管理安装程序,而这些程序已通过攻击者控制的租户被武器化。
例如,ITarian的安装程序通过包含经过编辑的租户标识符的URL执行,这使得下载的MSI文件能够联系其他域名并执行次级有效载荷。
经观察,名为ITarian的应用程序(以RmmService.exe的形式运行)会启动DicomPortable.exe等恶意进程,并通过修改注册表来实现持久化。
这种复杂性延伸到了有效载荷的部署层面,威胁行为者会利用各种技术,例如通过合法签名的二进制文件进行DLL侧载。
在有记录的案例中,DicomPortable.exe通过由Apowersoft有限公司签名的软件侧载恶意的Qt5Core.dll,随后部署HijackLoader以进行进一步的破坏活动。
这种方法利用代码签名信任机制绕过安全控制,同时植入信息窃取程序和其他远程访问工具。
检测这些攻击活动需要监控远程监控与管理(RMM)工具是否从异常目录执行子进程,尤其是当这些工具在该环境中通常未获授权的情况下。
组织应针对合法的远程监控与管理(RMM)部署维持严格的允许列表,并实施网络控制措施,以识别托管这些恶意活动的可疑新注册域名。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
