Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Federala myndigheter angripna av cyberattackare via Legit Remote Management Systems

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 122

Det har visat sig att hackare på ett skickligt sätt använde två färdiga fjärrövervaknings- och hanteringssystem (RMM) för att bryta mot flera Federal Civilian Executive Branch (FCEB) byrånätverk i USA förra sommaren.

Den 25 januari släppte Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) och Multi-State Information Sharing and Analysis Center (MS-ISAC) en gemensam rådgivande beskriver attackerna, varnar cybersäkerhetsgemenskapen för skadlig användning av kommersiell RMM-programvara och erbjuder begränsningar och indikatorer på kompromisser att se upp för.

IT-tjänsteleverantörer använder RMM för att fjärrövervaka och hantera klienters nätverk och slutpunkter. Men hackare kan använda samma programvara för att kringgå typiska programvarukontrollpolicyer och behörighetskrav på offerdatorer - som den amerikanska regeringen fick reda på.

Hur hackare bröt mot regeringen med RMM

I oktober förra året genomförde CISA en retrospektiv analys av Einstein — dess intrångsdetekteringssystem, utplacerat över FCEB-byråer. Forskarna hittade kanske mer än de hade förhandlat om.

I mitten av juni förra året skickade hackare ett nätfiskemail till en FCEB-anställds myndighetsadress. Mejlet fick den anställde att ringa ett telefonnummer. Att ringa numret fick dem att besöka en skadlig webbadress: "myhelpcare.online."

Att besöka domänen utlöste nedladdningen av en körbar fil, som sedan kopplades till en andra domän, vilket var där två RMM:er – AnyDesk och ScreenConnect (nu ConnectWise Control) – kom in i bilden. Den andra domänen installerade faktiskt inte AnyDesk och ScreenConnect-klienter på målets dator. Istället gick det bakåt: nedladdning av programmen som fristående, bärbara körbara filer, konfigurerade för att ansluta tillbaka till hotaktörens server.

Varför spelar detta roll? "Eftersom", förklarade författarorganisationerna, "bärbara körbara filer inte kräver administratörsbehörighet, de kan tillåta exekvering av icke godkänd programvara även om en riskhanteringskontroll kan finnas på plats för att granska eller blockera samma programvaras installation på nätverket."

Efter att ha gjort ett hån mot administratörsbehörigheter och programvarukontroller kunde hotaktörerna sedan använda den körbara filen "för att attackera andra sårbara maskiner inom det lokala intranätet eller etablera långvarig beständig åtkomst som en lokal användartjänst."

Det visar sig dock att junikompromissen bara var toppen på ett isberg. Tre månader senare observerades trafik mellan ett annat FCEB-nätverk och en liknande domän - "myhelpcare.cc" - och ytterligare analys, mindes författarna, "identifierade relaterad aktivitet på många andra FCEB-nätverk."

Trots att de riktade in sig på statligt anställda verkar angriparna ha varit ekonomiskt motiverade. Efter att ha anslutit till målmaskiner, lockade de offer att logga in på sina bankkonton, och "använde sedan sin åtkomst genom RMM-mjukvaran för att ändra mottagarens bankkontosammanfattning", skrev författarna. "Den felaktigt modifierade bankkontosammanfattningen visade att mottagaren av misstag fick tillbaka en överskjutande summa pengar. Skådespelarna instruerade sedan mottagaren att "återbetala" detta överskjutande belopp till bedrägerioperatören."

Varför hackare gillar RMMs

Hackare har en lång historia av att använda legitim programvara för olagliga syften. Mest populära är red-team-verktyg — som Koboltstrejk och Metasploit — som cyberförsvarare använder för att testa sina egna system men kan sömlöst appliceras på samma sätt i ett kontradiktoriskt sammanhang.

Till och med programvara som inte har något uppenbart samband med cybersäkerhet kan användas för ondska. Som bara ett exempel, Nordkoreanska hackingkluster har observerats kapa e-postmarknadsföringstjänster för att skicka nätfiske förbi spamfilter.

I det här fallet har RMMs blivit allestädes närvarande under de senaste åren, vilket gör att angripare som använder dem har ett enkelt sätt att gömma sig i osynligt. Mer än något annat är det dock graden av autonomi som RMMs kräver för att utföra sina normala funktioner som hackare vänder sig till sin fördel.

"Många RMM-system använder verktyg som är inbyggda i operativsystemet," förklarar Erich Kron, säkerhetsmedvetandeförespråkare på KnowBe4, för Dark Reading. "Dessa, såväl som specialbyggda RMM-verktyg, har vanligtvis mycket höga nivåer av systemåtkomst, vilket gör dem mycket värdefulla för angripare."

"För att lägga till problemet," noterar Kron, "RMM-verktyg är ofta uteslutna från säkerhetsövervakning eftersom de kan utlösa falska positiva resultat och framstå som skadliga och ovanliga när de utför sitt legitima arbete."

Tillsammans, "gör det aktiviteterna mycket svårare att upptäcka eftersom de smälter in med normala datoroperationer", tillägger han. Organisationer som lyckas upptäcka skillnaden kommer att finna ytterligare huvudvärk när det gäller att förhindra skadlig användning av RMM, samtidigt som legitim användning av RMMs över samma system upprätthålls.

Det är alltså inte konstigt fler hackare antar dessa program i sina attackflöden. I en 26 januari rapport Cisco Talos täckte sina upptäckter av incidentrespons från det fjärde kvartalet 2022 och noterade syncro, en RMM som de stötte på i nästan 30 % av alla engagemang.

Det var "en betydande ökning jämfört med tidigare kvartal", förklarade Talos-forskare. "Syncro var bland många andra fjärråtkomst- och hanteringsverktyg, inklusive AnyDesk och SplashTop, som motståndare utnyttjade för att etablera och underhålla fjärråtkomst till komprometterade värdar."

För att avsluta sitt meddelande föreslog NSA, CISA och MS-ISAC åtgärder som nätverksförsvarare kan vidta för att bekämpa RMM-aktiverade attacker, inklusive:

  • God hygien och medvetenhet kring nätfiske,
  • Identifiera fjärråtkomstprogramvara på ditt nätverk och om den bara laddas in i minnet,
  • Implementering av kontroller mot, och granskning av, obehöriga RMM:er som körs som en bärbar körbar,
  • Kräver att RMM:er endast ska användas över godkända virtuella privata nätverk och virtuella skrivbordsgränssnitt, och
  • Blockering av anslutningar på vanliga RMM-portar och protokoll vid nätverksperimetern.
plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.