Фишинг кампања погодува 80+ организации користејќи SimpleHelp и ScreenConnect RMM алатки

Активна фишинг кампања е забележана дека таргетира повеќе вектори најмалку од април 2025 година, при што користи легитимен софтвер за далечинско следење и управување (RMM – Remote Monitoring and Management) за да воспостави перзистентен далечински пристап до компромитирани системи.

Активноста, со кодно име VENOMOUS#HELPER, погодила над 80 организации, од кои повеќето се во САД, според Securonix. Таа покажува преклопувања со групи претходно следени од Red Canary и Sophos, при што Sophos ја означила како STAC6405. Иако не е јасно кој стои зад кампањата, истражувачите од сајбер-безбедност наведуваат дека таа најверојатно е поврзана со финансиски мотивиран Initial Access Broker (IAB) или операции поврзани со ransomware.

„Во овој случај, прилагодени верзии на SimpleHelp и ScreenConnect RMM се користат за заобиколување на одбранбените механизми, бидејќи тие се легитимно инсталирани од несомничните жртви,“ наведоа истражувачите Akshay Gaikwad, Shikha Sangwan и Aaron Beardslee во извештај споделен со The Hacker News.

Покрај тоа што употребата на легитимни RMM алатки овозможува избегнување детекција, користењето на SimpleHelp и ScreenConnect истовремено укажува на обид за создавање „редундантна двоканална архитектура за пристап“, која овозможува континуирано работење дури и ако едниот канал биде откриен и блокиран.

Сè започнува со фишинг е-порака која се претставува како порака од U.S. Social Security Administration (SSA), каде што примачот е упатен да ја потврди својата е-пошта и да преземе наводна SSA изјава преку линк во пораката. Линкот води до легитимна, но компромитирана веб-страница на мексикански бизнис („gruta.com[.]mx“), што укажува на намерна стратегија за заобиколување на спам филтрите.

„SSA изјавата“ потоа се презема од втор домен контролиран од напаѓачот („server.cubatiendaalimentos.com[.]mx“), како извршна датотека која е одговорна за испорачување на SimpleHelp RMM алатката. Се смета дека напаѓачот добил пристап до еден cPanel кориснички акаунт на легитимен хостинг сервер за да ја постави бинарната датотека.

Штом жртвата го отвори JWrapper-пакуваниот Windows извршен фајл, мислејќи дека станува збор за документ, малверот се инсталира како Windows сервис со перзистентност во Safe Mode. Тој обезбедува постојано работење преку „self-healing watchdog“ кој автоматски го рестартира ако биде прекинат, и периодично ги проверува регистрираните безбедносни производи преку WMI namespace root\SecurityCenter2 на секои 67 секунди, како и присуство на корисник на секои 23 секунди.

За да овозможи целосно интерактивен пристап до десктопот, SimpleHelp клиентот за далечински пристап добива SeDebugPrivilege преку AdjustTokenPrivileges, додека „elev_win.exe“ – легитимен извршен фајл поврзан со софтверот – се користи за стекнување SYSTEM ниво привилегии. Ова им овозможува на операторите да го гледаат екранот, да внесуваат команди преку тастатура и да пристапуваат до ресурси во контекстот на корисникот.

Овој ескалиран далечински пристап потоа се злоупотребува за преземање и инсталирање на ConnectWise ScreenConnect, кој служи како резервен комуникациски канал доколку SimpleHelp каналот биде отстранет.

„Деплојната верзија на SimpleHelp (5.0.1) обезбедува комплетен сет на можности за далечинска администрација,“ наведоа истражувачите. „Жртвената организација останува во состојба во која напаѓачот може да се врати во секое време, тивко да извршува команди во корисничката сесија, двонасочно да пренесува датотеки и да се движи кон соседни системи, додека стандардните антивирусни и потпис-базирани контроли гледаат само легитимно потпишан софтвер од реномиран британски производител.“

Извори:

• The Hacker News – Phishing Campaign Hits 80+ Orgs Using SimpleHelp and ScreenConnect RMM Tools The Hacker News