Uzun süredir devam eden bir phishing operasyonu, imzalı uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanarak kurban makinelerine sessiz ve kalıcı arka kapılar yerleştiriyor. Bu operasyon, ABD başta olmak üzere 80'den fazla kuruluşu etkiledi. Securonix tarafından yapılan araştırmaya göre, 'Venomous#Helper' olarak adlandırılan kampanya, en az Nisan 2025'ten beri aktif ve kendi kendine barındırılan bir SimpleHelp 5.0.1 örneği ile bir ConnectWise ScreenConnect rölesini birleştirerek her enfekte ana bilgisayarda iki bağımsız erişim kanalı sağlıyor.
Kampanya, Red Canary ve Sophos tarafından daha önce izlenen bir kümeyle örtüşüyor; Sophos bu kümeyi STAC6405 olarak adlandırdı. Securonix, Venomous#Helper'ı bilinen bir gruba atfetmedi ancak finansal motivasyonlu bir ilk erişim komisyoncusu veya fidye yazılımı dağıtımının öncüsü olduğunu değerlendirdi. Enfeksiyonlar, ABD Sosyal Güvenlik Kurumu'nu (SSA) taklit eden ve alıcılardan adreslerini doğrulamalarını ve bir bildirim indirmelerini isteyen bir e-postayla başlıyor.
Securonix, bağlantının kurbanları, SSA markalı bir toplama sayfası sunan ve daha sonra ayrı bir tehlikeye atılmış cPanel hesabında barındırılan bir yükü yönlendiren, güvenliği ihlal edilmiş bir Meksika işletme sitesi olan gruta.com.mx'e yönlendirdiğini buldu. Araştırmacılar, yerleşik .com.mx alan adlarının kullanılmasının, güvenli e-posta ağ geçidi itibar filtrelemesini atlatmak için kasıtlı bir girişim olduğunu söyledi. İndirilen yürütülebilir dosya, numaralandırılmış bir hükümet belgesi gibi görünecek şekilde adlandırılmıştı ve SimpleHelp Ltd tarafından imzalanmış, Thawte sertifikasına sahip bir JWrapper paketlenmiş ikili dosyaydı.
Detaylar ve Etkileri
Bu imza, kötü amaçlı yazılımlara özgü kırmızı 'bilinmeyen yayıncı' uyarısı yerine mavi 'doğrulanmış yayıncı' istemi oluşturdu ve bu, Securonix'e göre zincirde kurban etkileşimi gerektiren tek noktaydı. Yükleyici, 'Remote Access Service' adlı bir Windows hizmeti kaydetti ve SafeBoot\Network kayıt defteri kovanına yazdı, böylece Güvenli Mod yeniden başlatmalarında bile hayatta kalmasını sağladı. Bir canlılık bekçisi, RAT sürecini izledi ve öldürülürse otomatik olarak yeniden başlattı. Savunmacılar, yüksek doğruluklu uç nokta telemetri sistemleri dağıtmaya, onaylanmış araç envanterleri tutmaya ve imzalı RMM ikili dosyalarından anormal süreç soy zinciri avlamaya çağrıldı.