Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

RMM-инструменты LogMeIn Resolve и PDQ Connect распространяют PatoRAT

1
3 мин
Недавняя разведка киберугроз выявила кампанию, в которой злоумышленники эксплуатируют легитимные инструменты удалённого мониторинга и управления (RMM) — LogMeIn Resolve (ныне известный как GoTo Resolve) и PDQ Connect — для доставки и развёртывания вредоносного ПО. Основной вектор первоначального попадания остаётся неясным, однако характер атак указывает на применение социальной инженерии и маскировку вредоноса под легитимное ПО. Атаки опираются на «видимость законности», размещая вредоносное ПО на веб‑сайтах, которые обманом заставляют пользователей загрузить то, что выглядит как обычная программа. Злоумышленники размещают на web‑ресурсах файлы, имитирующие обычные программные инсталляторы или обновления. После запуска этих файлов на машине жертвы происходит цепочка действий: устанавливается RMM‑компонент или используется функционал существующего инструмента для выполнения команд, которые в конечном итоге загружают и запускают дополнительное вредоносное ПО с возможностями эксфильтрации
Оглавление

Недавняя разведка киберугроз выявила кампанию, в которой злоумышленники эксплуатируют легитимные инструменты удалённого мониторинга и управления (RMM) — LogMeIn Resolve (ныне известный как GoTo Resolve) и PDQ Connect — для доставки и развёртывания вредоносного ПО. Основной вектор первоначального попадания остаётся неясным, однако характер атак указывает на применение социальной инженерии и маскировку вредоноса под легитимное ПО.

Атаки опираются на «видимость законности», размещая вредоносное ПО на веб‑сайтах, которые обманом заставляют пользователей загрузить то, что выглядит как обычная программа.

Что именно произошло

Злоумышленники размещают на web‑ресурсах файлы, имитирующие обычные программные инсталляторы или обновления. После запуска этих файлов на машине жертвы происходит цепочка действий: устанавливается RMM‑компонент или используется функционал существующего инструмента для выполнения команд, которые в конечном итоге загружают и запускают дополнительное вредоносное ПО с возможностями эксфильтрации данных.

Как злоупотребляют RMM‑инструментами

  • LogMeIn Resolve / GoTo Resolve: легальный инструмент для удалённой поддержки, управления исправлениями и мониторинга. Его штатная функциональность — удалённый запуск команд, установка ПО, доступ к системе — делает его привлекательным для злоумышленников, которые при нормальных условиях обходят традиционные средства защиты.
  • PDQ Connect: используется для распространения ПО и управления патчами; злоумышленники применяют его для выполнения команд PowerShell и облегчения установки вредоноса.
  • Такие инструменты часто не блокируются классическими брандмауэрами и антивирусами, поскольку их поведение может выглядеть как управляемая администратором активность.

О бэкдоре PatoRAT

PatoRAT — это бэкдор, обеспечивающий удалённое управление инфицированной системой и ориентированный на кражу информации. Ключевые характеристики:

  • Разработан на Delphi.
  • Содержит внутренние механизмы ведения журнала и строки на португальском языке, что может указывать либо на происхождение разработчиков, либо на целевую демографию.
  • Классифицируется по ClientID, что связывает экземпляры PatoRAT с методами распространения через управляемые инструменты RMM.

Почему это важно

Сценарий, когда легитимное ПО используется в злонамеренных целях, — тревожный тренд. Инструменты RMM, предназначенные для администрирования и поддержки, предоставляют злоумышленникам «легитимный» канал для выполнения команд, развёртывания payload и вывода данных, обходя многие традиционные механизмы обнаружения.

Рекомендации для организаций и пользователей

Чтобы снизить риски, эксперты советуют:

  • Загружать софт только с официальных веб‑сайтов поставщиков и проверять цифровые подписи установочных файлов.
  • Поддерживать ОС и решения безопасности в актуальном состоянии — обновления закрывают известные уязвимости.
  • Ограничивать доступ к RMM‑инструментам по принципу least privilege и использовать многофакторную аутентификацию (MFA).
  • Мониторить и логировать использование RMM‑средств, внедрить контроль целостности конфигураций и аудит выполнения команд.
  • Сегментировать сеть и применять строгие политики для удалённого управления — ограничивать, с каких адресов и в какое время допустим доступ.
  • Блокировать или контролировать произвольное выполнение PowerShell, внедрять политики по Application Control / allow‑listing.
  • Интегрировать EDR/NGAV и SIEM для обнаружения аномалий — «living‑off‑the‑land» техники требуют поведенческого анализа.

Вывод

Случай с LogMeIn Resolve / GoTo Resolve и PDQ Connect демонстрирует, что угрозы эволюционируют в сторону использования легитимных административных инструментов для скрытого развёртывания бэкдоров, таких как PatoRAT. Внимательность к источникам загрузок, ограничение прав и оперативный мониторинг активности RMM — ключевые меры для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "RMM-инструменты LogMeIn Resolve и PDQ Connect распространяют PatoRAT".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются