Các nhà nghiên cứu Cybersecurity đã tiết lộ chi tiết về một chiến dịch tấn công kép mới, sử dụng thông tin đăng nhập bị đánh cắp để triển khai phần mềm Remote Monitoring and Management (RMM) hợp pháp nhằm duy trì quyền truy cập từ xa vào các máy chủ bị xâm nhập.
“Thay vì triển khai các loại virus tùy chỉnh, kẻ tấn công đang vượt qua các rào cản bảo mật bằng cách vũ khí hóa các công cụ IT cần thiết mà quản trị viên tin dùng,” các nhà nghiên cứu của KnowBe4 Threat Labs là Jeewan Singh Jalal, Prabhakaran Ravichandhiran và Anand Bodke cho biết. “Bằng cách đánh cắp một 'chìa khóa tổng' vào hệ thống, chúng biến phần mềm Remote Monitoring and Management (RMM) hợp pháp thành một backdoor liên tục.”
Cuộc tấn công diễn ra theo hai giai đoạn rõ rệt: đầu tiên, các tác nhân đe dọa sử dụng các thông báo mời giả mạo để đánh cắp thông tin đăng nhập của nạn nhân; sau đó, chúng sử dụng các thông tin bị đánh cắp này để triển khai các công cụ RMM nhằm thiết lập quyền truy cập liên tục.
Các email giả mạo được ngụy trang thành lời mời từ một nền tảng hợp pháp có tên Greenvelope, nhằm lừa người nhận nhấp vào một URL phishing được thiết kế để thu thập thông tin đăng nhập Microsoft Outlook, Yahoo!, AOL.com của họ. Khi thông tin này được lấy, cuộc tấn công sẽ chuyển sang giai đoạn tiếp theo.
Cụ thể, điều này liên quan đến việc tác nhân đe dọa đăng ký với LogMeIn bằng email bị xâm nhập để tạo các token truy cập RMM, sau đó được triển khai trong một cuộc tấn công tiếp theo thông qua một tệp thực thi có tên "GreenVelopeCard.exe" để thiết lập quyền truy cập từ xa liên tục vào hệ thống của nạn nhân.
Tệp nhị phân này, được ký bằng chứng chỉ hợp lệ, chứa một cấu hình JSON hoạt động như một kênh để cài đặt âm thầm LogMeIn Resolve (trước đây là GoTo Resolve) và kết nối với một URL do kẻ tấn công kiểm soát mà nạn nhân không hề hay biết.
Với công cụ RMM đã được triển khai, các tác nhân đe dọa vũ khí hóa quyền truy cập từ xa để thay đổi cài đặt dịch vụ của nó, cho phép nó chạy với quyền truy cập không hạn chế trên Windows. Cuộc tấn công cũng thiết lập các tác vụ theo lịch trình ẩn để tự động khởi chạy chương trình RMM ngay cả khi người dùng chủ động tắt nó.
Để chống lại mối đe dọa này, các tổ chức nên theo dõi các cài đặt RMM trái phép và các mẫu sử dụng của chúng.
