CISA、NSA 和 MS-ISAC 今天在一份聯合公告中警告說,攻擊者越來越多地使用合法的遠程監控和管理 (RMM) 軟件進行惡意攻擊。
更令人擔憂的是,在 2022 年 10 月中旬發布靜默推送報告後,CISA 發現多個聯邦文職行政部門 (FCEB) 機構網絡中使用 EINSTEIN 入侵檢測系統的惡意活動。
此活動與 Silent Push 報告的“廣泛的、出於經濟動機的網絡釣魚活動”有關,並在 2022 年 9 月中旬首次在單個 FCEB 網絡上被發現後在“許多其他 FCEB 網絡”上檢測到。
至少從 2022 年 6 月中旬開始,該活動背後的攻擊者開始向聯邦工作人員的政府和個人電子郵件地址發送以服務台為主題的網絡釣魚電子郵件。
“編寫組織評估認為,至少自 2022 年 6 月以來,網絡犯罪分子已向 FCEB 聯邦工作人員的個人和政府電子郵件地址發送了以幫助台為主題的網絡釣魚電子郵件,”該公告寫道。
“這些電子郵件要么包含指向‘第一階段’惡意域的鏈接,要么提示收件人致電網絡犯罪分子,然後他們試圖說服收件人訪問第一階段惡意域。”
自 2021 年第一季度以來,回調網絡釣魚攻擊(例如本次活動中針對 FCEB 員工的攻擊)增長了 625%,並且還被勒索軟件團伙採用。
這些團體包括從 Conti 網絡犯罪活動中分離出來的團體,例如 Silent Ransom Group、Quantum(現為 Dagon Locker)和 Royal。
與普通網絡釣魚電子郵件不同,回調網絡釣魚攻擊不包含指向威脅行為者網站的鏈接。 相反,他們使用誘餌(例如高價訂閱續訂)說服目標撥打列出的電話號碼。
當目標撥打該號碼時,他們將被告知打開一個網站來下載退還續訂價格所需的軟件。
當電子郵件改為嵌入惡意鏈接時,所使用的網絡釣魚域旨在冒充知名品牌,包括 Microsoft、Amazon 和 Paypal。
單擊嵌入式鏈接將打開默認的 Web 瀏覽器並自動下載旨在連接到第二階段域的惡意軟件,以下載連接到攻擊者 RMM 服務器的 AnyDesk 和 ScreenConnect 的便攜版本。
使用便攜式遠程桌面軟件可執行文件允許惡意行為者以本地用戶身份訪問目標系統,而無需管理員權限或完整的軟件安裝,從而繞過軟件控制並挑戰常見的風險管理假設。
FCEB 網絡漏洞與退款騙子有關
一旦他們設法在目標的設備上站穩腳跟,威脅行為者就會利用他們的訪問權限來嘗試誘騙受害者登錄他們的銀行賬戶,以便他們可以發起退款詐騙。
“儘管這一特定活動似乎是出於經濟動機並針對個人,但訪問可能會導致針對接收方組織的其他惡意活動——來自其他網絡犯罪分子和 APT 行為者,”該公告稱。
“惡意網絡參與者可以利用這些相同的技術來攻擊國家安全系統 (NSS)、國防部 (DoD) 和國防工業基地 (DIB) 網絡,並在工作和家庭設備和帳戶上使用合法的 RMM 軟件, " 美國國家安全局補充道。
CISA、NSA 和 MS-ISAC 鼓勵防御者使用與諮詢共享的妥協指標來檢測潛在的利用或妥協。
活動中使用的第一階段域名遵循以 IT 幫助/支持為主題的社會工程詐騙中常用的命名模式:myhelpcare[.]online。 myhelpcare[.]cc, hservice[.]live, gscare[.]live, nhelpcare[.]info, deskcareme[.]live, nhelpcare[.]cc, win03[.]xyz, win01[.]xyz, 247secure[ .]我們。
BleepingComputer 發現此活動中的另一個活動域是 winbackup01[.]xyz。
CISA 鼓勵網絡捍衛者審查有關妥協指標、最佳實踐和建議的緩解措施的諮詢,其中強調了使用 RMM 的其他類型的惡意活動的威脅,包括將其用作持久性和/或命令和控制的後門 (C2)。 — 中國證券業協會
他們還提供了一系列旨在幫助減輕此類風險並確保網絡免受傳入攻擊企圖的措施。
為防止潛在的安全漏洞,公司和組織應審核已安裝的遠程訪問工具並識別授權的 RMM 軟件。
還建議使用應用程序控制來防止執行未經授權的 RMM 軟件,並且僅在經批准的遠程訪問解決方案(例如 VPN 或 VDI)上使用授權的 RMM 軟件,同時阻止標準 RMM 端口上的入站和出站連接 和協議。
為進一步增強安全性,組織應實施培訓計劃和網絡釣魚練習,以提高員工對網絡釣魚和魚叉式網絡釣魚電子郵件相關風險的認識。
如若转载,请注明出处:https://www.ozabc.com/it/534486.html