Masivna fišing kampanja koristi legalne RMM alate za pristup mrežama 80+ organizacija
Fišing kampanja VENOMOUS#HELPER koristi legalne RMM alate za daljinski pristup mrežama 80+ organizacija, sa mogućnošću skrivenog nadgledanja i krađe podataka.
Šta se desilo?
Aktivna fišing kampanja, poznata kao VENOMOUS#HELPER, već od aprila 2025. godine napada velike korporacije i institucije. Napadači šalju lažne poruke pod izgovorom U.S. Uprave za društvenu sigurnost (SSA) sa ciljem da zaraze računare sa SimpleHelp i ScreenConnect RMM (Remote Monitoring and Management) alatima - legitimnim softverom za daljinski nadzor i upravljanje sistemima.
Koga pogađa?
Kampanja je do sada pogodila više od 80 organizacija, prema istraživanju bezbednosne kompanije Securonix. Većina žrtava nalazi se u Sjedinjenim Američkim Državama, ali rizik je globalan jer napadači koriste opšte dostupne softverske alate. Posebno su ugrožene kompanije koje koriste RMM sisteme kao deo svoje IT infrastrukture.
Kako se zaštititi?
- Pažljivo proverite sve e-poruke koje potiču naizgled od državnih agencija - legitimne institucije nikada ne zahtevaju potvrdu pristupnih podataka preko e-maila
- Nemojte preuzimati datoteke iz e-mail linkova čiji izvor nije 100% verifikovan - preusmeri na zvaničnu veb-stranicu agencije
- Primenjujte najnovije bezbednosne zakrpe na svim sistemima i softverima
- Pratite aktivnosti na nalozima i identifikujte neobičnu konekciju ili prespore pristupe daljinskom pristupu
- Edukujte zaposlenike o rizicima fišinga - fokusirajte se na prepoznavanje lažnih poruka SSA
- Konfigurajte endpoint zaštitu da detektuje abnormalno ponašanje i neovlašćene RMM instalacije
- Ograničite pristup RMM alatima samo na autentifikovane i enkripciju konekcije
Tehnički detalji
Napadači kompromituju legitimne Meksičke veb-sajtove da bi redistribuirali malver pakovan u JWrapper formatu. Inicijalna datoteka se maskira kao dokument SSA izveštaja. Nakon pokretanja, malver se instalira kao Windows servis sa mogućnošću perzistencije u Safe Mode režimu i uključuje "self-healing" mehanizam koji automatski restartuje infekciju ako bude ukinuta. Softveru se dodeljavaju SYSTEM privilegije kroz SeDebugPrivilege i AdjustTokenPrivileges. SimpleHelp (verzija 5.0.1) služi kao primarni kanal komunikacije, dok se ConnectWise ScreenConnect instalira kao redundantna rezervna veza. Istraživači su identifikovali da malver proverava registrovane bezbednosne proizvode kroz WMI namespace root\SecurityCenter2 na svakih 67 sekundi i prisustvo korisnika na svakih 23 sekunde.
Preporuka Sajber Radara
Pregled bezbednosti fišing kampanja je neophodan - svi zaposleni trebaju da budu obučeni kako da prepoznaju pokušaje manipulacije. Redovno auditujtе sve instalacije RMM alata na poslovnim sistemima i blokirajtе neželjene konekcije kroz zaštitnu zid hardver i softver rešenja.
