Šta se desilo?

Otkrivena je aktivna kampanja fišinga koja od aprila 2025. godine napada brojne organizacije. Napadači iskorišćavaju legitimne alate za daljinsko upravljanje i monitoring (RMM) - konkretno SimpleHelp i ScreenConnect - kako bi uspostavili stalan pristup kompromitovanim računarima. Bezbednosni istraživači iz Securonixa su zabeležili napad, označen kao VENOMOUS#HELPER, koji je pogodio više od 80 organizacija, primarno u Sjedinjenim Američkim Državama.

Koga pogađa?

Kampanja je usmerena na širok spektar organizacija u različitim sektorima, sa fokusom na SAD. Rizik je posebno visok za IT odeljenja i sistemske administratore koji koriste RMM alate za održavanje infrastrukture, kao i za sve zaposlene koji mogu biti meta inicijalnog fišing pristupa.

Kako se zaštititi?

  • Proučite i ohrabrite zaposlene da prepoznaju fišing e-poštu - posebno one sa linkovima ili prilogima koji čine da se aktivira RMM softver
  • Primenite dodatne provere pri instalaciji ili aktiviranju RMM alata - zahtevajte verifikaciju kroz odvojene kanale
  • Monitorujte neobične aktivnosti RMM alata, posebno povećanu mrežnu aktivnost ili pokušaje pristupa izvan očekivanih vremena
  • Ažurirajte SimpleHelp i ScreenConnect na najnovije verzije sa sve dostupnim bezbednosnim ispravkama
  • Koristite multi-faktor autentifikaciju za sve nalogе koji mogu upravljati RMM alatima
  • Implementirajte email sigurnosne alate koji filtriraju linkove i prilogе prije nego što stignu do korisnika

Preporuka Sajber Radara

Organizacije koje koriste RMM alate trebaju hitno da provere svoje sistemе na znakove neobjašnjene aktivnosti i da pojačaju kontrolu pristupa RMM softverу. Redovno obučavanje zaposlenih o fišing pretnjama ostaje kritično u borbi protiv ovakvih kampanja.