Um Conselho de Segurança Cibernética (CSA) conjunto da Agência de Segurança Cibernética e de Infraestrutura (CISA), da Agência de Segurança Nacional (NSA) e do Centro Multiestatal de Compartilhamento e Análise de Informações (MS-ISAC) foi lançado para alertar os defensores da rede sobre o uso malicioso de software legítimo de monitoramento e gerenciamento remoto (RMM).
Em outubro de 2022, a CISA descobriu um ataque cibernético massivo que utilizou software RMM malicioso e legítimo.
Nesta campanha, os cibercriminosos utilizaram e-mails de phishing para induzir os usuários a baixar software RMM confiável, como ScreenConnect e AnyDesk, que eles exploraram para roubar dinheiro das contas bancárias das vítimas por meio de fraude de reembolso.
Além disso, os atores poderiam vender o acesso às contas das vítimas a outros cibercriminosos ou a atores de ameaças persistentes avançadas (APT).
“O uso de executáveis portáteis de software RMM fornece uma maneira para os atores estabelecerem acesso de usuário local sem a necessidade de privilégio administrativo e instalação completa do software – contornando efetivamente os controles comuns de software e suposições de gerenciamento de risco”, Relatórios CISA.
Visão geral da atividade cibernética maliciosa
Com base em uma análise retrospectiva do EINSTEIN, um sistema de detecção de intrusão (IDS) do poder executivo civil federal (FCEB) operado e monitorado pela CISA, descobriu-se que duas redes FCEB podem ter sido alvo de atividades maliciosas.
- O endereço de e-mail governamental de um funcionário da FCEB recebeu um e-mail de phishing com um número de telefone em meados de junho de 2022 de atores mal-intencionados. O trabalhador ligou para o número e, como resultado, visitou o site fraudulento myhelpcare[.]on-line.
- Houve tráfego bidirecional entre uma rede FCEB e myhelpcare[.]cc em meados de setembro de 2022.
Os relatórios dizem que um executável é baixado quando um destinatário visita um domínio malicioso de primeiro estágio. O executável então estabelece uma conexão com um domínio malicioso que está no “segundo estágio”, do qual baixa software RMM adicional.
“Os atores não instalaram clientes RMM baixados no host comprometido. Em vez disso, os atores baixaram o AnyDesk e o ScreenConnect como executáveis portáteis independentes configurados para se conectar ao servidor RMM do ator”, observou a CISA.
Nesse caso, os atores utilizaram o software RMM para iniciar um esquema de reembolso após baixá-lo. Eles inicialmente estabeleceram uma conexão com o sistema da vítima e depois atraíram a vítima para que fizesse login em sua conta bancária enquanto ainda estava conectada ao sistema.
O resumo da conta bancária do destinatário foi posteriormente alterado pelos intervenientes utilizando o acesso fornecido pelo software RMM.
De acordo com os relatórios, o resumo da conta bancária falsamente modificado mostrou que o destinatário foi reembolsado por engano com uma quantia excessiva de dinheiro. Os atores então instruíram o destinatário a “reembolsar” esse valor excedente ao operador do golpe.
Os defensores da rede devem estar cientes do seguinte:
- Os agentes de ameaças podem usar maliciosamente qualquer software RMM legítimo, mesmo que os agentes cibercriminosos nesta campanha utilizem ScreenConnect e AnyDesk.
- Os atores da ameaça podem evitar a necessidade de privilégios administrativos e as políticas de controle de gerenciamento de software baixando aplicativos RMM válidos como executáveis portáteis independentes.
- As proteções antivírus e antimalware normalmente não são acionadas com software RMM.
- A utilização de MMR genuínos e software de área de trabalho remota como backdoors para persistência e C2 por ciberatores mal-intencionados é bem conhecido.
- O software RMM permite que os cibercriminosos evitem o uso de seu próprio malware.
Os atores de ameaças frequentemente têm como alvo usuários autorizados de software RMM. Os alvos podem incluir provedores de serviços gerenciados (MSPs) e help desks de TI, que frequentemente empregam software RMM legítimo para administração de rede, monitoramento de endpoint, gerenciamento de endpoint e interação remota de host para tarefas de suporte de TI.
Conseqüentemente, esses agentes de ameaças podem explorar relações de confiança em redes MSP e obter acesso a um grande número de clientes do MSP vítima.
