Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Рост атак с PDF и RMM: новая угроза для бизнеса Европы

3 мин
Компания WithSecure зафиксировала заметный рост сложных атак, в которых злоумышленники применяют инструменты удаленного мониторинга и управления (remote monitoring and management, RMM) посредством внедрения ссылок прямо в PDF-документы. Основные цели преступников — организации во Франции и Люксембурге, однако атаки постепенно затрагивают и другие европейские страны. Распространение вредоносных материалов происходит через электронные письма, разработанные с использованием данных из социальных сетей, что повышает их уровень доверия у потенциальных жертв. В письмах прикладываются PDF-файлы, внешне кажущиеся безобидными, зачастую замаскированными под счета-фактуры, контракты или иные документы, релевантные отрасли целевой компании. Используемые в атаках RMM-решения отличаются легкостью в установке и эксплуатации. Among the most popular tools are: Эти платформы практически не требуют настройки после установки, что облегчает злоумышленникам получение быстрого удалённого доступа. Интересным и
Оглавление
Источник: labs.withsecure.com
Источник: labs.withsecure.com

Компания WithSecure зафиксировала заметный рост сложных атак, в которых злоумышленники применяют инструменты удаленного мониторинга и управления (remote monitoring and management, RMM) посредством внедрения ссылок прямо в PDF-документы. Основные цели преступников — организации во Франции и Люксембурге, однако атаки постепенно затрагивают и другие европейские страны.

Особенности и методы атак

Распространение вредоносных материалов происходит через электронные письма, разработанные с использованием данных из социальных сетей, что повышает их уровень доверия у потенциальных жертв. В письмах прикладываются PDF-файлы, внешне кажущиеся безобидными, зачастую замаскированными под счета-фактуры, контракты или иные документы, релевантные отрасли целевой компании.

  • PDF-файлы содержат единственную встроенную ссылку, ведущую на загрузку установщика RMM-инструмента.
  • Подлинность документов достигается за счёт детальной доработки — например, изображения объектов недвижимости затемняются для создания эффекта официальности.
  • Для повышения доверия используются методы социальной инженерии, включая подделку электронных адресов и доменов-двойников.
  • В некоторых случаях злоумышленники маскируются под ключевых сотрудников компаний-жертв.

Технологии и инструменты злоумышленников

Используемые в атаках RMM-решения отличаются легкостью в установке и эксплуатации. Among the most popular tools are:

  • FleetDeck
  • Atera
  • Bluetrait

Эти платформы практически не требуют настройки после установки, что облегчает злоумышленникам получение быстрого удалённого доступа. Интересным исключением является использование ScreenConnect через URL-перенаправления в PDF, что позволяет скрыть домен RMM от систем обнаружения.

Обход систем защиты и новые каналы распространения

Хакеры применяют умные тактики для обхода антивирусных и почтовых фильтров. Ссылки на загрузку RMM часто размещаются на уникальных URL, предоставляемых легальными поставщиками, что делает их почти неотличимыми от безопасного трафика.

Недавно был отмечен новый вектор атаки — использование платформы Zendesk. Злоумышленники отправляют заявки с вредоносными PDF-файлами, минуя средства защиты электронной почты. Несмотря на регулярное сканирование Zendesk на вирусы, установщики RMM часто не воспринимаются как вредоносные, что позволяет избежать обнаружения.

Целевые отрасли и географический охват

Хотя основное внимание уделяется Франции и Люксембургу, атаки охватывают и другие европейские регионы. Злоумышленники ориентируются на сектора с высокой добавленной стоимостью:

  • энергетика
  • банковское дело
  • строительство
  • государственное управление

В этих отраслях успешные киберинциденты могут приносить злоумышленникам значительные финансовые дивиденды.

Исторический контекст и тенденции

Хотя интенсивность подобных атак заметно возросла с ноября 2024 года, архивные данные свидетельствуют о наличии более ранних случаев — с июля 2024 года. Этот тренд отражает трансформацию тактик киберпреступников, которые всё чаще используют легальное ПО для маскировки своих действий.

С помощью RMM-инструментов злоумышленники достигают:

  • обхода традиционных систем защиты почты и антивирусов;
  • удалённого получения доступа в сети жертв;
  • отключения функций безопасности и повышения привилегий;
  • развертывания дополнительного вредоносного ПО.

Такой подход похож на методы, применяемые группами программ-вымогателей, например, Black Basta и Conti.

Рекомендации для организаций

В свете выявленных угроз компаниям следует повысить уровень бдительности и пересмотреть свои стратегии кибербезопасности. Необходимо усилить контроль за использованием легального программного обеспечения, особенно в части RMM, а также адаптировать средства защиты для противодействия всё более изощрённым социально ориентированным атакам.

«Этот всплеск злоупотреблений законными инструментами подчёркивает изменение ландшафта киберугроз и необходимость комплексного подхода к безопасности», — отмечают эксперты WithSecure.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Рост атак с PDF и RMM: новая угроза для бизнеса Европы".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются