Sofistikerte ransomware-operasjoner utnytter den legitime ansattes overvåkningsprogramvare-kickidler, og transformerer den fra et tilsynsverktøy på arbeidsplassen til en potent spionasjeplattform for dypt nettverksinfiltrasjon og legitimasjonstyveri.
Cybersecurity-eksperter har nylig detaljert hvordan tilknyttede berørende berørende ransomware-grupper, inkludert Qilin, Quilin, inkludert Qilin og jakten og jakellige og jakellige og paplarer.
Dette misbruket lar angripere omhyggelig spore brukeraktivitet, fange tastetrykk, registrere skjermhandlinger og til slutt høste sensitiv informasjon som er kritisk for å eskalere angrepene sine, spesielt mot verdifulle VMware ESXi-miljøer. Funnene, bekreftet av flere sikkerhetsnyhetsutsalg i begynnelsen av mai 2025, understreker en farlig trend der pålitelige interne verktøy er undergrenset for å omgå sikkerhetstiltak.
falske nedlastingssider sprer trojaniserte versjoner av kickidler
(SEO) forgiftning. Angripere lager ondsinnede nettsteder, for eksempel nedlastingsnettstedet for nedlasting av rvtools, og markedsfører dem i resultatene i søkemotoren.
En intetanende administrator nedlasting av det som ser ut til å være et legitimt IT-styringsverktøy som essens/”målet=”https://www.robware. Dette ondsinnede installasjonsprogrammet distribuerer da typisk Smokedham PowerShell.NET Backdoor , som deretter installerer Kickidler. Denne metoden er spesielt lumsk da den utnytter de høye privilegiene som ofte er forbundet med administratorregnskap.
Den strategiske verdien av Kickidler for disse trusselaktørene er betydelig. Varonis forklarte at programvaren gjør det mulig for angripere å overvinne forsvar som avkoblede sikkerhetskopieringssystemgodkjenning:
“Kickidler adresserer dette problemet ved å fange tastetrykk og websider fra en administrators arbeidsstasjon. Dette gjør at dette er angripere til å identifisere eller andre sky-backup og få tak i det nødvendige passordet. oppdaget.”
Denne muligheten oppnås uten å ty til lettere påviselige metoder som minnedumping. Det endelige målet er ofte kryptering av kritisk infrastruktur, noe som fører til utbredt driftsforstyrrelse og betydelige økonomiske krav.
angripere utnytter legitime verktøy for dypt nettverkstilgang
Den detaljerte mekanikken i disse angrepene, som beskrevet av psexec . I noen tilfeller har angripere distribuert Kitty , en gaffel fra Putty SSH-klienten, for å etablere omvendt RDP-tunnel over Port 443. Persistens eller kommando-og-kontroll (C2)-mekanisme, Remm-programvare (Remote Monitoring and Management (RMM) som AnyDesk har også blitt observert. Dataeksfiltrering er et sentralt trinn før kryptering; I Varonis casestudie brukte angripere WinSCP For å stjele nesten en terabyte av data. Kickidlers legitime funksjoner, brukt av over 5000 organisasjoner i henhold til dens utvikler , en tilknyttet P> P> P> P> P> P> P> P> Følelse. (referert til av Synacktiv som ‘grabber’ og installert via `grem.msi`) ble brukt i flere uker for å spionere på en administrator. Synacktiv-forskere fremhevet nyheten i denne tilnærmingen, og sa:”Dette er første gang vi ser et så legitimt verktøy ansatt av angripere.”Bleepingcomputer rapporterte i august 2024 om gruppen som formidlet Sharprhino-rotta via winscp for å distribuere en rustbasert esxi-enclyptor. på ESXi-verter, og deretter bruke WinSCP til å overføre og utføre ransomware. Et kritisk skritt innebar å deaktivere ESXis integritetskontroller for kjørbare filer. Ransomware i seg selv, som inneholdt et terminal brukergrensesnitt, var ofte satt for forsinket utførelse.
Det ville stoppe virtuelle maskiner, kryptere filene sine (målrettet utvidelser som.vmx,.vmdk,.vmsn), og deretter prøve å overskrive gratis disk plass til å hindre gjenoppretting. Uvanlig la ikke denne spesifikke ESXI-krypteren en løsepenger på de berørte systemene.
De bredere farene ved overvåking av programvare og defensive holdninger
Ondfulle utnyttelse av kickidler oppstår mot et bakgrunn av bredere bekymring for arbeidsplassen på arbeidsplassen. Mens de nåværende hendelsene involverer aktiv våpenisering av eksterne trusselaktører, ble de iboende risikoene ved å overvåke programvaren fremhevet i en utilsiktet lekkasje angående arbeidskomponeringsapplikasjonen.
Den saken involverte utilsiktet eksponering av over 21 millioner ansattes skjermbilder på grunn av et feilaktig sikret Amazon S3-bøtte. WorkComposer’s Own Vilkår og betingelser Forsøk å fraskrive ansvar for slike internettsikkerhetsbrudd.
Misbruk av legemidler. A
For å bekjempe disse utviklingen av truslene, tar sikkerhetseksperter til orde for en multisjaid “Defense In Depth” Sentrale anbefalinger inkluderer omfattende revisjoner av alle fjerntilgangsverktøy, implementering av strenge applikasjonskontroller for å forhindre utførelse av uautorisert RMM-programvare, håndhevelse av retningslinjer som kun har gitt ut ekstern tilgangsløsninger (for eksempel VPN-er eller VDI-er), og den proaktive blokkeringen av inbound og utgifter for Common RMM-port og protective blokkering av inbound og utgifter. Varonis understreker for eksempel viktigheten av å sikre alle syv lag med cyberscurity , fra den menneskelige elementet til kritisk datainfrastruktur.