Wyrafinowane operacje oprogramowania ransomware wykorzystują uzasadnione oprogramowanie do monitorowania pracowników, przekształcając je z narzędzia nadzoru w miejscu pracy w silną platformę szpiegowską dla głębokiej infiltracji sieci i kradzieży poświadczonej.
Eksperci cyberbezpieczeństwa niedawno opisali, w jaki sposób podważono, jak strefiates of Sotorior Ransomware, w tym Qilin i kradzież Hunters, początkowe rozluźniające.
To nadużycie pozwala atakującym skrupulatnie śledzić aktywność użytkownika, przechwytywać klawiszki, rekordowe działania na ekranie i ostatecznie zbieraj poufne informacje kluczowe dla eskalacji ich ataków, szczególnie w stosunku do cennych środowisk VMware ESXI. Ustalenia, potwierdzone przez wiele punktów informacyjnych bezpieczeństwa na początku maja 2025 r., Podkreślają niebezpieczny trend, w którym zaufane narzędzia wewnętrzne są obalone do ominięcia środków bezpieczeństwa.
Fałszywe strony pobierania rozpowszechniane do kierowania TROJANIZACJI Wersje Trojanizowane: Skarbowe programy SEKIDLER ITIGENCJA (SEO) Zatrucie. Atakerzy tworzą złośliwe strony internetowe, takie jak fałszywa strona do pobierania RVtools, i promują je w wynikach wyszukiwania.
Nic niepodejmujący administrator pobierający coś, co wydaje się być uzasadnionym narzędziem zarządzania IT, takim jak Smokedham Powershell.Net Backdoor , który następnie instaluje Kickidler. Ta metoda jest szczególnie podstępna, ponieważ wykorzystuje wysokie przywileje często powiązane z kontami administratorów.
Strategiczna wartość kickidlera dla tych podmiotów zagrożenia jest znacząca. Varonis wyjaśnił, że oprogramowanie umożliwia atakującym przezwyciężenie obrony, takich jak uwierzytelnianie systemu kopii zapasowej:
„KickIdler rozwiązuje ten problem, przechwytując klawisze i strony internetowe ze stacji roboczej administratora. To umożliwia atakującym zidentyfikowanie kopii zapasowych w chmurze poza witryną i uzyskiwanie niezbędnych haseł, aby uzyskać dostęp do nich.
Ta zdolność jest osiągana bez uciekania się do łatwiejszych wykrywalnych metod, takich jak zrzucanie pamięci. Ostatecznym celem jest często szyfrowanie infrastruktury krytycznej, co prowadzi do powszechnych zakłóceń operacyjnych i znacznych wymagań finansowych.
Atakerzy wykorzystują uzasadnione narzędzia do głębokiego dostępu do sieci
Szczegółowa mechanika tych ataków, jak opisano w varonis labs
Ruch boczny w sieci ofiary jest następnie realizowany przy użyciu typowych narzędzi IT, takich jak Remote Protokół komputerowy (RDP) i psexec . W niektórych przypadkach napastnicy rozmieścili Kitty , widelca Klienta Putty SSH, aby ustanowić odwrotne tunele RDP nad SSH do ich infrastruktury EC2, często maskowania tego złego ruchu nad portem 443. Zaobserwowano również oprogramowanie do trwałości lub dowodzenia i kontroli (C2), zdalne monitorowanie i zarządzanie (RMM). Wykluczanie danych jest kluczowym krokiem przed szyfrowaniem; W studium przypadku Varonis atakujący używali WinsCP , aby ukraść prawie terabajt danych. Uzasadnione funkcje Kickidlera, używane przez ponad 5000 organizacji zgodnie z jego deweloper , są skręcone dla skrytej rozpatry. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-starget-your-hypervisors”target=”_ blank”> Synacktiv badawcze, zwłaszcza opublikowane wcześniej w dniu 5 marca 2025 r. , zapewniane na temat łowców międzynarodowych rans. i procedury (TTP). Hunters International, który pojawił się około października 2023 r. Po podobnym nabyciu aktywów z zdemontowanej grupy ransomware Hive, zaobserwowano przy użyciu trojanizowanego instalatora RVtools w celu dostarczenia tylnego tylnego w Smokedham. SynackTiv połączony wędzedham z aktor zagrożony UNC2465 , afiliat wcześniej związany z operacją Lockbit i Darkside Ransure. Przez SynackTiv jako „Grabber” i zainstalowany przez „grem.msi`) był używany przez tygodnie do szpiegowania administratora. Naukowcy Synacktiv podkreślili nowość tego podejścia, stwierdzając: „Po raz pierwszy widzimy takie uzasadnione narzędzie stosowane przez atakujących”. BleepingComputer poinformował w sierpniu 2024 r. W grupie rozpowszechniając szczura Sharprhino za pośrednictwem WinsCP automatyzacja w celu wdrożenia opartego na rdzeniowej ESXI Encryptor.
To scenariusz do automatycznego łączenia się do vecista. hosty, a następnie za pomocą WINSCP do przesyłania i wykonania oprogramowania ransomware. Krytycznym krokiem było wyłączenie kontroli integralności ESXI dla plików wykonywalnych. Samo oprogramowanie ransomware, które zawierało interfejs użytkownika terminala, był często ustawiany na opóźnione wykonywanie.
Zatrzymałby maszyny wirtualne, szyfrował ich pliki (kierowanie rozszerzeń, takich jak.vmx,.vmdk,.vmsn), a następnie próbowałby nadpisywać bezpłatną przestrzeń disku do odzyskiwania. Niezwykle ten specyficzny szyfrator ESXI nie pozostawił notatki ransom na temat dotkniętych systemów.
Szersze niebezpieczeństwa związane z monitorowaniem oprogramowania i pozycji defensywnych
Złośliwe wykorzystanie kickudlera występuje na podstawie szerszych problemów dotyczących technologii operacji pracy. Podczas gdy obecne incydenty obejmują aktywną broń przez podmioty zagrożenia zewnętrznego, nieodłączne ryzyko oprogramowania do monitorowania zostało wyróżnione w przypadkowym wycieku dotyczącym aplikacji kompozytora roboczego.
Ta sprawa obejmowała przypadkową ekspozycję ponad 21 milionów ekranów pracowników z powodu niewłaściwie zabezpieczonego Amazon S3 Bucket-odporności na te narzędzia, nawet bez złej interferencji. Workcomposer’s Own Warunki Próbuj zrzeczenie się odpowiedzialności za takie naruszenia bezpieczeństwa w Internecie.
Nadużywanie legalnego monitorowania i zarządzania (RMM) narzędzia jest trwałym zagrożeniem uznanym przez autorytety bezpieczeństwa w Internecie. A
W celu zwalczania tych ewoluujących zagrożeń, eksperci ds. Bezpieczeństwa opowiadają się za wielowarstwowym „obrona w głębi” podejście. Kluczowe zalecenia obejmują kompleksowe audyty wszystkich narzędzi do dostępu zdalnego, wdrożenie ścisłych kontroli aplikacji, aby zapobiec wykonywaniu nieautoryzowanego oprogramowania RMM, egzekwowanie zasad nakazujących jedynie zatwierdzone rozwiązania dostępu do zdalnego dostępu (takie jak VPN lub VDIS) oraz proaktywne blokowanie inboningowych i wybuchowych połączeń na wspólnych portach RMM i protokołach, chyba że w przypadku operacji legitowych).
Na przykład varonis podkreśla znaczenie zabezpieczenia wszystkich siedem warstw cyberbezpieczeństwa , od ludzkiego elementu przez infrastrukturę krytyczną.
W celu zwalczania tych ewoluujących zagrożeń, eksperci ds. Bezpieczeństwa opowiadają się za wielowarstwowym „obrona w głębi” podejście. Kluczowe zalecenia obejmują kompleksowe audyty wszystkich narzędzi do dostępu zdalnego, wdrożenie ścisłych kontroli aplikacji, aby zapobiec wykonywaniu nieautoryzowanego oprogramowania RMM, egzekwowanie zasad nakazujących jedynie zatwierdzone rozwiązania dostępu do zdalnego dostępu (takie jak VPN lub VDIS) oraz proaktywne blokowanie inboningowych i wybuchowych połączeń na wspólnych portach RMM i protokołach, chyba że w przypadku operacji legitowych).
Na przykład varonis podkreśla znaczenie zabezpieczenia wszystkich siedem warstw cyberbezpieczeństwa , od ludzkiego elementu przez infrastrukturę krytyczną.
