Хакеры используют легитимные программы UltraVNC, Splashtop и ScreenConnect для захвата корпоративных компьютеров

Специалисты по кибербезопасности из компании Huntress обнаружили новую фишинговую кампанию, в ходе которой злоумышленники активно применяют легитимные инструменты удаленного мониторинга и управления (RMM), такие как Tiflux, UltraVNC, Splashtop и ScreenConnect. Целью этих атак является получение постоянного доступа к корпоративным системам и последующая эксфильтрация конфиденциальных данных.

Механизм атаки

Кампания начинается с тщательно разработанного фишингового электронного письма, оформленного как уведомление об обновлении сервисного соглашения от компании «Network Solutions». В письме утверждается, что «Network Solutions» изменила условия ценообразования и предоставления услуг, и получателю предлагается перейти по ссылке для ознакомления и принятия новых условий.

Жертвы, перешедшие по указанной ссылке, сначала сталкиваются с необходимостью пройти проверку CAPTCHA, что, вероятно, помогает отсеять ботов и автоматизированный анализ. После этого им предлагается загрузить «защищенный документ», который на самом деле является установочным файлом для TIflux – коммерческого, хотя и относительно малоизвестного, инструмента удаленного мониторинга и управления (RMM).

Инструменты злоумышленников и цели

Вместе с TIflux на компьютеры жертв также устанавливаются другие программы, включая архиватор 7zip, устаревшую версию инструмента удаленного доступа UltraVNC и уязвимый драйвер HwRwDrv.x64. Именно этот драйвер, по мнению исследователей, играет ключевую роль, позволяя злоумышленникам повышать свои привилегии в операционной системе.

Затем хакеры используют TIflux для установки Splashtop или ScreenConnect (в некоторых случаях обоих). Эти программы становятся основными инструментами для достижения финальной цели: передача скриншотов экрана в реальном времени, запуск системных утилит, закрепление присутствия в скомпрометированной системе и, наконец, извлечение конфиденциальных данных.

География и временные рамки

Атаки были зафиксированы компанией Huntress в конце февраля текущего года. В отчете не упоминаются конкретные группы угроз по названию, однако отмечается, что TIflux является бразильским инструментом. Инфраструктура, используемая злоумышленниками, включает домен сервера, заканчивающийся на бразильский национальный домен верхнего уровня. Это указывает на то, что за атаками стоят бразильские хакеры, ориентированные на цели в Бразилии.

Рекомендации по защите

Для эффективной защиты от злоупотреблений RMM-инструментами предприятиям рекомендуется принимать следующие меры: проводить всестороннюю инвентаризацию всех установленных приложений, внедрять строгие политики контроля за использованием программного обеспечения, регулярно проверять и аудировать авторизованные RMM-системы, сверяя их с базами данных известных инструментов, часто используемых киберпреступниками (например, LOLRMM), а также тщательно анализировать журналы активности RMM.