- اكتشفت Huntress حملة تصيد احتيالي توفر أدوات RMM مشروعة (Tiflux وUltraVNC وSplashtop وScreenConnect) لتحقيق الاستمرارية وتسلل بيانات الأعمال
- يقوم المهاجمون بإغراء الضحايا برسائل البريد الإلكتروني المزيفة الخاصة بعقد خدمة “Network Solutions” ومن ثم استغلال برنامج التشغيل الضعيف (HwRwDrv.x64) لتصعيد الامتيازات
- تشير الأدلة إلى البنية التحتية والأهداف البرازيلية، مع ضمانات تعتمد على عمليات تدقيق RMM الصارمة، وقوائم جرد الأصول ومراجعات السجل لقواعد بيانات LOLRMM
يستخدم مجرمو الإنترنت مجموعة من البرامج الشرعية، بما في ذلك Tiflux وUltraVNC وSplashtop وScreenConnect، للسيطرة على أجهزة الكمبيوتر الخاصة بالأعمال، وضمان الاستمرارية واستخراج البيانات الحساسة باستمرار. هذا وفقًا للباحث الأمني Huntress، الذي قام بتفصيل الحملة الجديدة في مقال بحثي مفصل.
يبدأ الهجوم برسالة بريد إلكتروني تصيدية تم إعدادها بعناية، والتي عادة ما تكون فكرتها المهيمنة هي “عقد خدمة Network Solutions المحدث”. تشير رسالة البريد الإلكتروني إلى أن Network Solutions قامت بتعديل بيانات الأسعار والخدمة الخاصة بها وتوجه الهدف لزيارة صفحة حيث يمكنه مراجعة الشروط الجديدة وقبولها.
يُطلب من الضحايا الذين ينقرون على الرابط المقدم أولاً إكمال رمز CAPTCHA، من أجل تصفية الروبوتات وإجراء التحليل التلقائي. يُطلب منهم بعد ذلك تنزيل “مستند مؤمن” يقوم فقط بتثبيت TIflux، وهي أداة تجارية مشروعة للمراقبة والإدارة عن بعد (RMM).
الهجمات منذ نهاية فبراير/شباط
إلى جانب Tiflux، يتم أيضًا توفير أدوات أخرى للضحايا، بما في ذلك 7zip، وهو إصدار قديم من UltraVNC أداة الوصول عن بعد وبرنامج التشغيل الضعيف المسمى HwRwDrv.x64. يبدو أن الأخير حاسم هنا، لأنه يسمح بتصعيد محتمل للحقوق.
يستخدم المهاجمون بعد ذلك Tiflux لتثبيت Splashtop أو ScreenConnect (أو كليهما في بعض الحالات) قبل الانتقال إلى هدفهم الرئيسي – بث لقطات شاشة مباشرة، وتشغيل أدوات النظام، وتحقيق الثبات، وتصفية البيانات.
شهدت الصيادة هجمات في البرية في أواخر فبراير من هذا العام. لا يذكر التقرير أي مجموعات محددة أو أسماء الجهات الفاعلة في التهديد، لكنه يذكر أن TIflux هي أداة برازيلية وأن البنية التحتية لممثلي التهديد تستخدم نطاق خادم ينتهي بنطاق المستوى الأعلى لرمز البلد البرازيلي.
بمعنى آخر، كل شيء يشير إلى أنه مهاجم برازيلي يهاجم الأهداف البرازيلية.
يمكن للشركات الدفاع ضد إساءة استخدام RMM من خلال إنشاء مخزون شامل لجميع التطبيقات المثبتة، وتنفيذ ضوابط صارمة للتطبيقات، والتدقيق المنتظم لـ RMMs المصرح بها ومقارنتها بقواعد البيانات مثل LOLRMM للعثور على الأدوات التي تستخدمها جهات التهديد بشكل متكرر، ومراجعة سجلات أنشطة RMM.
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
