Kurban makinelere sessiz, kalıcı arka kapılar yerleştirmek için imzalı uzaktan izleme ve yönetim (RMM) yazılımını kötüye kullanan uzun süredir devam eden bir kimlik avı operasyonu, ağırlıklı olarak ABD'de 80'den fazla kuruluşun güvenliğini tehlikeye attı.
Kod adı Venomous#Helper olan ve en az Nisan 2025'ten bu yana aktif olan kampanya, Securonix'in yeni araştırmasına göre operatörlere virüs bulaşan her ana bilgisayar üzerinde iki bağımsız erişim kanalı sağlamak için şirket içinde barındırılan SimpleHelp 5.0.1 örneğini ConnectWise ScreenConnect aktarıcısıyla eşleştiriyor.
Etkinlik, daha önce hem Red Canary hem de Sophos tarafından takip edilen bir kümeyle örtüşüyor; ikincisi ona STAC6405 adını veriyor. Securonix, Venomous#Helper'ı bilinen bir gruba atfetmedi ancak mali açıdan motive olmuş bir ilk erişim komisyoncusu veya fidye yazılımı dağıtımının öncüsü ile tutarlı olduğunu değerlendirdi.
Gelecekte Ne Bekleniyor?
Hükümetin Kimliğine Bürünmesi Sessiz Kurulumu Sağlar
Sistem Güvenliği
Enfeksiyonlar, ABD Sosyal Güvenlik İdaresi'ni (SSA) taklit eden ve alıcılara adreslerini doğrulamaları ve bir bildirim indirmeleri talimatını veren bir e-postayla başladı.
Securonix, bağlantının kurbanları, güvenliği ihlal edilmiş ayrı bir cPanel hesabında barındırılan bir veri yüküne yönlendirmeden önce SSA markalı bir toplama sayfası sunan, güvenliği ihlal edilmiş bir Meksika iş sitesi olan gruta[.]com.mx'e yönlendirdiğini buldu. Araştırmacılar, yerleşik .com.mx alan adlarının kullanımının, güvenli e-posta ağ geçidi itibar filtrelemesini atlamaya yönelik kasıtlı bir girişim olduğunu söyledi.
Numaralandırılmış bir hükümet belgesi gibi görünecek şekilde adlandırılan indirilen yürütülebilir dosya, SimpleHelp Ltd tarafından geçerli bir Thawte sertifikasıyla imzalanmış, JWrapper paketli bir ikili dosyaydı.
Uzmanların Görüşleri
Bu imza, kötü amaçlı yazılımlara özgü kırmızı bilinmeyen yayıncı uyarısı yerine mavi renkli doğrulanan yayıncı uyarısını üretti; Securonix, kurban etkileşimi gerektiren zincirdeki tek noktanın bu olduğunu söyledi.
Kimlik avı operasyonlarında RMM'nin kötüye kullanılması hakkında daha fazlasını okuyun: Kimlik Avı Kampanyaları Uzaktan Erişim için RMM Araçlarını Bırakıyor
Çift Kanallı Kalıcılık ve Otomatik Gözetim
Onaylandıktan sonra yükleyici, "Uzaktan Erişim Hizmeti" adlı bir Windows hizmetini kaydettirdi ve SafeBoot\Network kayıt defteri kovanına yazarak, Güvenli Mod yeniden başlatmalarından sağ çıkmasını sağladı.
Önemli Gelişmeler
Bir canlılık gözlemcisi RAT sürecini izledi ve öldürüldüğü takdirde otomatik olarak yeniden başlattı. Dağıtılan SimpleHelp yapısı, sertifikasının süresi 2018'de dolmuş, kırık bir 2017 paketiydi; bu da operatörlerin herhangi bir lisans maliyeti veya satıcı kağıt izi ödemediğini gösteriyor.
Bir saatlik bir gözlemde Securonix, hiçbir operatör etkileşimi olmadan, yalnızca arka planda yapılan yoklamayla oluşturulan 986 süreç oluşturma olayını kaydetti.
Teknik Analiz
Üç döngü eş zamanlı olarak yürütülüyordu: her 15 saniyede bir Wi-Fi arayüzü kontrolü, her 23 saniyede bir fare konumu yoklaması ve her 67 saniyede bir senkronize güvenlik ürünü numaralandırma taraması. Araştırmacılar, fare konumu döngüsünün, operatörlerin klavyeyi kullanmadan önce kurbanın uzaklaşmasını beklediklerini ileri sürdü.
Securonix ayrıca, RAT'ın, wmic.exe.bak olarak saklanan ikili dosyanın yeniden adlandırılmış bir kopyası aracılığıyla WMIC sorgularını yürüttüğü ve böylece orijinal dosya adına anahtarlanmış EDR kurallarını bozduğu dikkate değer bir kaçırma tekniğini de işaretledi. Dosya, yüksek güvenliğe sahip bir uzlaşma göstergesi olarak değerlendirilmelidir.
Sonuç ve Değerlendirme
Çift RMM tasarımı kasıtlıydı. Securonix araştırmacılarının danışma belgesinde belirttiği gibi, "kötü amaçlı yazılım BT yönetim yazılımı olduğunda, onu yakalayan tek şey geride bıraktığı davranıştır."
Savunmacılara yüksek doğruluklu uç nokta telemetri sistemleri kurmaları, onaylı araç envanterlerini sürdürmeleri ve imzalı RMM ikili dosyalarından anormal süreç kökenini aramaları istendi.