Siber güvenlik araştırmacıları, en az Nisan 2025'ten beri aktif olan ve 'Venomous#Helper' kod adı verilen bir phishing kampanyasının, meşru uzaktan izleme ve yönetim (RMM) yazılımlarını kötüye kullanarak 80'den fazla kuruluşa sızdığını ortaya çıkardı. Securonix tarafından yapılan analize göre, saldırganlar kendi kendine barındırılan SimpleHelp 5.0.1 ve ConnectWise ScreenConnect araçlarını kullanarak her bulaşmış sisteme iki bağımsız erişim kanalı kuruyor. Kampanyanın finansal motivasyonlu bir erişim aracısı veya fidye yazılımı öncesi bir adım olduğu düşünülüyor.
Saldırı, ABD Sosyal Güvenlik Kurumu'nu (SSA) taklit eden e-postalarla başlıyor. Kurbana adres doğrulama ve bir belge indirme talimatı veriliyor. Bağlantı, Meksika'ya ait güvenliği ihlal edilmiş bir siteye (gruta.com.mx) yönlendiriyor. Bu site, SSA temalı bir kimlik avı sayfası sunuyor ve ardından kullanıcıyı ayrı bir cPanel hesabında barındırılan zararlı yazılıma yönlendiriyor. İndirilen dosya, SimpleHelp Ltd tarafından imzalanmış ve Thawte sertifikasına sahip bir JWrapper paketli ikili dosya olarak karşımıza çıkıyor. Mavi doğrulanmış yayıncı uyarısı, kurbanın güvenini kazanmak için kullanılıyor.
Yazılım onaylandıktan sonra 'Remote Access Service' adında bir Windows hizmeti kuruyor ve SafeBoot\Network kayıt defteri kovanına yazıyor, böylece Güvenli Mod'da bile çalışmaya devam ediyor. Ayrıca bir canlılık izleyicisi, RAT sürecini otomatik olarak yeniden başlatıyor. SimpleHelp sürümü, 2018'de sona eren bir sertifikaya sahip kırık bir 2017 paketi. Securonix, bir saatlik gözlemde yalnızca arka plan sorgulamalarından kaynaklanan 986 işlem oluşturma olayı tespit etti. Üç döngü eşzamanlı çalışıyor: Wi-Fi arayüzü kontrolü (15 saniyede bir), fare konumu sorgulama (23 saniyede bir) ve güvenlik ürünü taraması (67 saniyede bir). Fare konumu döngüsü, saldırganların kurbanın bilgisayardan uzaklaşmasını beklediğini gösteriyor.
Saldırganlar, WMIC sorgularını wmic.exe.bak adlı yeniden adlandırılmış bir kopya üzerinden çalıştırarak EDR kurallarını atlatıyor. Securonix, bu dosyayı yüksek güvenilirlikli bir tehlike göstergesi olarak işaretliyor. Araştırmacılar, 'kötü amaçlı yazılım BT yönetim yazılımı olduğunda, onu yakalayan tek şey geride bıraktığı davranıştır' uyarısında bulunuyor. Savunmacılara, yüksek doğruluklu uç nokta telemetri sistemleri kullanmaları, onaylı araç envanteri tutmaları ve imzalı RMM ikili dosyalarından gelen anormal süreç soylarını avlamaları öneriliyor.