عملیات Ransomware با استفاده از نرم افزار نظارت بر کارمندان Legitimate Kickidler برای شناسایی ، ردیابی فعالیت قربانیان و برداشت اعتبار پس از نقض شبکه های خود ، از نرم افزار نظارت بر کارکیدلر کارکیدلر استفاده می کند.

در حملات مشاهده شده توسط شرکت های امنیت سایبری Varonis و SynackTiv ، Qilin و Hunters International Ransomware نصب شده Kickidler نصب شده ، یک ابزار نظارت بر کارمندان که می تواند کلید های کلید را ضبط کند ، تصاویر را بگیرد و فیلم هایی از صفحه نمایش ایجاد کند.

توسعه دهنده Kickidler می گوید این ابزار توسط بیش از 5000 سازمان از 60 کشور جهان استفاده می شود و ویژگی های نظارت بصری و پیشگیری از از بین رفتن داده ها را ارائه می دهد.

این حملات با بازیگران تهدیدی که تبلیغات Google را نشان می دهند هنگام جستجوی RVTOOLS ، یک ابزار رایگان ویندوز برای مدیریت استقرار VMware vSphere ، آغاز شد. با کلیک بر روی تبلیغات منجر به یک سایت RVTools جعلی شد (RV-Tool[.]خالص) ، ترویج نسخه برنامه تروجانیزه.

این برنامه یک لودر بدافزار است که Backdoor Smokedham PowerShell .NET را بارگیری و اجرا می کند که برای استقرار Kickidler در دستگاه استفاده می شود.

در حالی که این حملات مدیران سازمانی را هدف قرار می داد ، که حساب های آنها به طور معمول پس از سازش ، اعتبارنامه های ممتاز را برای بازیگران تهدید می کند ، وارونیس معتقد است که آنها ممکن است روزها و حتی هفته ها دسترسی به سیستم های قربانیان را حفظ کرده اند تا اعتبار لازم برای دسترسی به پشتیبان گیری از ابر خارج از سایت را بدون اینکه تشخیص دهند ، جمع آوری کنند.

وارونیس به BleepingComputer گفت: “با توجه به افزایش هدف قرار دادن راه حل های پشتیبان توسط مهاجمان در سالهای اخیر ، مدافعان در حال جدا کردن احراز هویت سیستم پشتیبان از حوزه های ویندوز هستند. این اقدام مانع از دسترسی مهاجمان به پشتیبان گیری می شود حتی اگر اعتبار ویندوز سطح بالایی را بدست آورند.”

“Kickidler با گرفتن کلید و صفحات وب از ایستگاه کاری مدیر ، این مسئله را به این مسئله می پردازد. این به مهاجمان امکان می دهد تا پشتیبان گیری های ابر خارج از سایت را شناسایی کرده و رمزهای عبور لازم را برای دسترسی به آنها بدست آورند. این کار بدون ریختن حافظه یا سایر تاکتیک های پرخطر که احتمالاً بیشتر تشخیص داده می شوند انجام می شود.”

در هر دو مورد ، پس از از سرگیری فعالیت های مخرب در شبکه های نقض شده ، اپراتورهای باج افزار بارها را مستقر کردند که زیرساخت های VMware ESXI قربانیان را هدف قرار داده ، رمزگذاری درایوهای دیسک مجازی VMDK و ایجاد اختلال گسترده.

SynackTiv گفت ، اسکریپت استقرار مورد استفاده توسط Hunters International VMware PowerCli و اتوماسیون WINSCP برای فعال کردن سرویس SSH ، استقرار باج افزار و اجرای آن در سرورهای ESXi.

نرم افزار قانونی RMM در حملات سوءاستفاده می شود

در حالی که نرم افزار نظارت بر کارمندان ابزاری برای باندهای باج افزار نیست ، اما آنها سالها از نرم افزار نظارت و مدیریت از راه دور (RMM) سوء استفاده کرده اند.

همانطور که CISA ، NSA و MS-ISAC در یک مشاوره مشترک در ژانویه 2023 هشدار دادند ، مهاجمان بخشی از بسیاری از عملیات باج افزار ، قربانیان را در نصب راه حل های دسک تاپ قابل حمل قابل حمل برای دور زدن کنترل های نرم افزاری و به دست گرفتن سیستم های خود بدون نیاز به امتیازات مدیر ، فریب می دهند.

از اواسط اکتبر 2022 ، CISA همچنین فعالیت های مخرب را در شبکه های آژانس های مختلف قوه مجریه غیرنظامی فدرال (FCEB) مرتبط با این نوع حمله کشف کرده است.

به تازگی ، مهاجمان دیده می شوند که مشتری های آسیب پذیر SimpleHELP RMM را برای ایجاد حساب های مدیر ، نصب پشتی ، و به طور بالقوه صحنه برای حملات باج افزار Akira را هدف قرار داده اند.

برای دفاع در برابر نقض امنیتی احتمالی ، به مدافعان شبکه توصیه می شود ابزارهای دسترسی از راه دور نصب شده را حسابرسی کرده و نرم افزار مجاز RMM را شناسایی کنند.

همچنین توصیه می شود از کنترل برنامه ها برای جلوگیری از اجرای نرم افزار RMM غیرمجاز و اجرای استفاده از ابزارهای دسک تاپ از راه دور مجاز ، همراه با راه حل های دسترسی از راه دور تأیید شده مانند VPN یا VDI استفاده کنید.

علاوه بر این ، تیم های امنیتی در صورت عدم استفاده باید اتصالات ورودی و برون مرزی را در درگاه ها و پروتکل های استاندارد RMM مسدود کنند.