По данным исследования Cisco Talos, с января 2025 года нацелена новая спам-кампания, затрагивающая бразильских пользователей. В центре атаки находятся коммерческие инструменты удаленного мониторинга и управления (RMM), такие как PDQ Connect и N-able, которые злоумышленники используют для внедрения вредоносного ПО.
Методы атаки
Спам-кампания использует специально созданные электронные письма, которые указывают на бразильскую систему электронных счетов-фактур NF-e. Эти сообщения побуждают пользователей переходить по вредоносным гиперссылкам, ведущим на контент, размещенный в Dropbox. Процесс заражения включает следующие этапы:
- Получение электронных писем, мнимо отправленных от финансовых учреждений или поставщиков мобильных услуг.
- Ложное представление о просроченных счетах или квитанциях об электронных платежах.
- Переход по вредоносным ссылкам, которые ведут к установщику инструментов RMM.
Предполагается, что хакеры действуют в качестве посредника первоначального доступа (IAB), используя бесплатные пробные периоди RMM-инструментов для доступа к системам жертв. Основными целями являются:
- Руководители высшего звена;
- Специалисты по финансам и управлению персоналом;
- Сотрудники образовательных и правительственных учреждений.
Применение инструментов RMM
Злоумышленники преимущественно используют 15-дневную бесплатную пробную версию N-able Remote Access, а также иногда PDQ Connect. Анализ показал, что регистрация аккаунтов осуществляется через бесплатные платформы электронной почты, такие как Gmail и Proton Mail. Хотя некоторые из этих аккаунтов могут содержать личные идентификаторы, они часто оказываются скомпрометированными.
Учитывая характер использования, от первоначального взлома до дальнейшей активности, Talos не зафиксировал стандартизированного поведения на пораженных компьютерах. Большинство систем оставались бездействующими в течение нескольких дней, прежде чем была обнаружена активность, такой как установка дополнительных инструментов RMM и деинсталляция существующих мер безопасности.
Увеличение числа атак
В последние годы наблюдается рост злоупотреблений коммерческими инструментами RMM в неблаговидных целях. К ключевым особенностям, способствующим этому, относятся:
- Широкий набор функций;
- Наличие цифровой подписи, упрощающее использование;
- Полная функциональность пробных версий без значительных инвестиций.
В ходе тестирования Talos подтвердил, что пробные учетные записи открывают хакерам широкий доступ, включая:
- Удаленное управление рабочим столом;
- Выполнение команд;
- Регистрацию нажатий клавиш.
Злоумышленники эффективно маскируют свои действия, используя стандартные HTTPS-коммуникации, что затрудняет установление авторства атак. Анализ конфигурационных файлов выявил адреса электронной почты, соответствующие тематическому содержанию спама, что демонстрирует все более сложные тактики хакеров.
Защита от угроз
Компания Cisco также предоставляет решения для обнаружения и предотвращения неправомерного использования инструментов RMM в сетях клиентов через Cisco Secure Firewall Application Control. Это подчеркивает важность внедрения надежных мер кибербезопасности в ответ на возникающие угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Спам-кампания использует инструменты RMM для атак на финансовый сектор".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.