Phishing kampanje na RMM alate: Kako detektovati zloupotrebe pouzdanih sredstava
Napadači koriste lažne stranice poznatih brendova da distribuiraju legitimne RMM alate, čineći detekciju pretnje težom jer alat sam po sebi nije štetna.
Šta se desilo?
Istraživači su otkrili seriju napada u kojima napadači koriste lažne stranice Majkrosoft, Adobe i OneDrive kako bi prevarili korisnike da preuzmu legitimne alate za daljinsku upravljanje sistemom - posebno ScreenConnect i LogMeIn Rescue. Problem čini činjenica što ovi alati mogu izgledati potpuno legalno kada se posmatraju izdvojeno, što otežava njihovu detekciju.
Koga pogađa?
Prema podacima, kampanja je najvidljivija u Sjedinjenim Državama, a zatim u Kanadi, Evropi i Australiji. Posebno su ugroženi sektori koji se oslanjaju na daljinsku IT podršku: obrazovne institucije, tehnološke kompanije, banke, državne agencije, proizvodna preduzeća i finansijski sektor. Pošto su legitimni alati za daljinsku administraciju uobičajeni u ovim granama, razvijanje sumnje je mnogo teže.
Kako se zaštititi?
- Ne preuzimajte softver sa sajtova koji nisu oficijalni - preuzimanja trebala bi biti samo sa službenih stranica proizvodača
- Proverite URL adresu pre nego što unesete kredencijale - phishing stranice često liče na originalne ali imaju male razlike
- Budite oprezni prema preuzimanjima koja ne odgovaraju očekivanom formatu - ako očekujete PDF, a primite .exe datoteku, to je sumnjivo
- Pratite mrežnu aktivnost nakon pokretanja daljinskih alata - neočekivane veze mogu ukazati na zloupotrebe
- Ažurirajte i pojačajte zaštitne mehanizme - Microsoft Defender i SmartScreen trebali bi ostati aktivni
- Prijavite sumnjive stranice i preuzimanja - brža prijava omogućava blagovremenu zaštitu drugim korisnicima
Tehnički detalji
Napadi koriste različite tehnike za maskiranje. U prvom slučaju, ScreenConnect se distribuira pod nazivom Adobesetup.exe preko lažne Microsoft Store stranice. U drugom slučaju, napadi koriste legitmnu n8n.cloud platformu kao odskočnu tačku, što otežava detekciju na osnovu samo ugleda domena. Treći slučaj koristi VBS skripte koje prvo slabe zaštitu (UAC obezbeđenje, SmartScreen, Microsoft Defender) pre nego što tiho instaliraju LogMeIn Rescue preko msiexec. Bez Mark-of-the-Web oznake, sistem tretira alat kao lokalni, što omogućava neotkrivenu instalaciju. Pored ScreenConnect-a, napadi злоупотребљавају и druge RMM alate: Datto RMM, ITarian, LogMeIn Rescue, Action1 RMM, NetSupport, Syncro, MeshAgent, SimpleHelp, RustDesk i Splashtop.
Preporuka Sajber Radara
Analitičari ne smeju suditi o legitimnosti samo na osnovu imena alata ili ugleda domena. Ključno je pratiti ceo lanac napada - od početne phishing stranice preko preuzimanja do izvršavanja i mrežnih konekcija. Korišćenje interaktivnih sandbox okruženja omogućava analitičarima da sagledaju kontekst i ponašanje, čime se značajno ubrzava triage proces i smanjuje vreme do detekcije stvarne pretnje.
