Растущее злоупотребление легальными средствами удалённого доступа в киберугрозах 2024 года
Современные хакеры всё чаще используют законные средства удалённого доступа (RAT) для кибератак, что отличает эти угрозы от традиционных троянов удалённого доступа. Такие инструменты внедряются на компьютерах ничего не подозревающих жертв и позволяют злоумышленникам не только загружать вредоносное ПО, но и контролировать конфиденциальные данные, включая учётные записи. Новый отчёт подчёркивает масштаб и изощрённость подобных атак с акцентом на наиболее распространённые RAT и их характерные тактики, методы и процедуры (TTP).
ConnectWise RAT: лидер среди используемых инструментов
ConnectWise RAT, известный как легальное решение для удалённого доступа, возглавляет список злоупотребляемых RAT — на его долю приходится 56% всех сообщений об активных угрозах (ATR) в 2024 году. Кампании с использованием этого инструмента направлены, в частности, на пользователей финансового сектора и включают:
- Подделку электронных писем от Администрации социального обеспечения и files.fm;
- Рассылку писем с социальной инженерией, обманом заставляющих загружать установщик ConnectWise RAT;
- Маскировку RAT под легитимные приложения.
Особенностью ConnectWise является простота развертывания и доступность 14-дневной бесплатной пробной версии, которой злоумышленники активно пользуются. Инструмент способен генерировать исполняемые файлы Windows, устанавливающие RAT, а связь по умолчанию осуществляется через порт 8041, что облегчает скрытное управление заражёнными устройствами.
Atera: гибкий RAT для продолжительных кампаний
Atera представляет собой сочетание RAT и функций удалённого мониторинга и управления (RMM), интегрируясь с популярными решениями, такими как Splashtop. Её 30-дневная пробная версия позволяет хакерам проводить длительные сложные операции. Особенности Atera:
- Генерация значительного сетевого трафика через разнообразные API конечных точек;
- Эффективная коммуникация между командами и контроллерами (C2);
- Использование в атаках с поддельными уведомлениями бразильского суда по трудовым спорам;
- Распространение вредоносных писем на португалоязычную аудиторию.
FleetDeck: специализированный RAT с устаревшей инфраструктурой
FleetDeck — менее распространённый, но популярный среди хакеров инструмент, который перестал получать обновления и техническое обслуживание с 2022 года. Его инфраструктура активно используется для организации связи C2. Основные тактики включают:
- Рассылку фишинговых писем о неоплаченных счетах;
- Попытки убедить жертв загрузить инструмент, связанный с Adobe, чтобы получить доступ к якобы необходимым документам.
Другие RAT и общий тренд злоупотреблений
В отчёте также отмечены другие RAT, такие как LogMeIn Resolve, Gooxion, PDQ Connect и ряд других. Они применяются в различных кампаниях, затрагивающих темы от финансов до доставки, на нескольких языках. В совокупности данные инструменты отражают многогранность и высокую степень риска, связанного с RAT.
Главная опасность заключается в том, что злоумышленники активно переключаются между RAT, основываясь на доступности и кажущейся легитимности, что значительно усложняет процессы обеспечения кибербезопасности. Это требует от специалистов по информационной безопасности постоянного обновления методов защиты и контроля над используемыми инструментами удалённого доступа.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Рост угроз от злоупотребления легальными RAT в кибербезопасности 2024".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.