Operațiunile de ransomware sofisticate exploatează software-ul legitim de monitorizare a angajaților, transformându-l dintr-un instrument de supraveghere a locului de muncă într-o platformă de spionaj puternică pentru infiltrarea profundă a rețelei și furt de acreditare.
experți în domeniul cibersecurității au detaliat recent modul în care afiliații de retineri în urma grupurilor de ransomware inițial, inclusiv Qilin și Hunters International, Deploy Kickidler în urma grupurilor de ransomware inițial.
Acest abuz permite atacatorilor să urmărească în mod meticulos activitatea utilizatorului, să capteze apăsarea tastelor, să înregistreze acțiunile ecranului și, în final, să recolteze informații sensibile la escaladarea atacurilor lor, în special împotriva mediilor valoroase VMware ESXi. The findings, corroborated by multiple security news outlets in early May 2025, underscore a dangerous trend where trusted internal tools are subverted to bypass security measures.
Fake Download Sites Spread Trojanized Versions of Kickidler
The pathway into corporate networks often begins with a deceptive tactic targeting IT administrators: Search Engine Optimization (SEO) Intoxicații. Atacanții creează site-uri web rău intenționate, cum ar fi site-ul de descărcare falsă RVTools și le promovează în rezultatele motorului de căutare.
Un administrator care nu are caracter care să descarce ceea ce pare a fi un utilitar legitim de gestionare IT, cum ar fi Rvtools Acest instalator rău intenționat apoi implementează de obicei Smokedham PowerShell.net Backdoor , care instalează ulterior Kickidler. Această metodă este deosebit de insidioasă, deoarece folosește privilegiile ridicate adesea asociate cu conturile de administrator.
Valoarea strategică a Kickidler pentru acești actori amenințători este semnificativă. Varonis a explicat că software-ul permite atacatorilor să depășească apărările precum autentificarea sistemului de rezervă decuplată:
„Kickidler abordează această problemă prin captarea apăsărilor de taste și a paginilor web din stația de lucru a administratorului. Acest lucru permite atacatorilor să identifice backup-uri în afara site-ului și să obțină parolele necesare pentru a le accesa. detectat.”
Această capacitate este obținută fără a recurge la metode mai ușor detectabile, cum ar fi dumpingul de memorie. Obiectivul final este frecvent criptarea infrastructurii critice, ceea ce duce la o perturbare operațională pe scară largă și la cereri financiare substanțiale.
Attackers Exploit Legitimate Tools for Deep Network Access
The detailed mechanics of these attacks, as outlined by Varonis Threat Labs reveal a patient și abordare metodică. Odată ce Smokedham Backdoor oferă un punct inițial, atacatorii execută comenzi de recunoaștere (cum ar fi `Whoami`,` SystemInfo`, `nslookup`) și exfiltrează aceste date la o instanță AWS EC2 controlată de atacator. În această etapă Kickidler, adesea deghizat sub un nume precum „Grabber.exe”, este implementat. Varonis teoretizează că o perioadă ulterioară de inactivitate, uneori care durează câteva zile, este probabil dedicată recoltării de acreditare extinsă prin capabilitățile de monitorizare a lui Kickidler.
Mișcarea laterală în rețeaua victimei este apoi urmărită folosind instrumente IT comune, cum ar fi protocolul desktop de la distanță (RDP) și psexec . În unele cazuri, atacatorii au implementat kitty , o furculiță a clientului SSH Putty, pentru a stabili tuneluri RDP inversă peste SSH către infrastructura lor de bază EC2, care maschează frecvent acest trafic răutăcinat peste 443 pentru a evada infrastructura de bază de bază. De asemenea, a fost observat un mecanism suplimentar de persistență sau de comandă și control (C2), software de monitorizare și gestionare la distanță (RMM), precum Anydesk, a fost, de asemenea, observat. Exfiltrarea datelor este un pas cheie înainte de criptare; În studiul de caz Varonis, atacatorii au folosit winscp pentru a fura aproape un terabyte de date. Caracteristicile legitime ale lui Kickidler, folosite de peste 5.000 de organizații în conformitate cu Dezvoltator , sunt răsucite pentru sigure de reconnaștere. href=”https://www.synacktiv.com/en/publications/case-study-how-hunters-international-and-friends-target-your-hypervisors” target=”_blank”>Synacktiv’s research, notably published earlier on March 5, 2025, provided an in-depth look at a Hunters International ransomware operation employing these very Tactics, Tehnici și proceduri (TTP). Hunters International, care a apărut în jurul lunii octombrie 2023, după ce a dobândit active de la Grupul de ransomware demontat, a fost observat folosind un instalator Trojanizat RVTools pentru a livra Smokedham Backdoor. Synacktiv a legat Smokedham de unc2465 actor amenințător , un afiliat asociat anterior cu Backbit și Darkside Ransomware Operations. de la SynAckTiv ca „Grabber” și instalat prin `grem.msi`) a fost folosit săptămâni întregi pentru a spiona un administrator. Cercetătorii Synacktiv au evidențiat noutatea acestei abordări, afirmând: „Aceasta este prima dată când vedem un astfel de instrument legitim folosit de atacatori”. BleepingComputer a raportat în august 2024 cu privire la grupul care difuzează șobolanul Sharprhino prin typesquatting site . Compromisul hipervizorilor VMware ESXi este un obiectiv principal pentru acești atacatori. SynAckTiv a detaliat utilizarea unui script PowerShell care a efectuat vmware powercli și WinSCP Automation pentru a implementa un ESXI ESXI ESXI. ESXI gazde, iar apoi folosind WinSCP pentru a transfera și executa ransomware-ul. Un pas critic a implicat dezactivarea verificărilor de integritate ale ESXI pentru fișiere executabile. Ransomware în sine, care avea o interfață de utilizator terminal, a fost adesea setată pentru o execuție întârziată.
ar opri mașinile virtuale, își criptează fișierele (direcționând extensii precum.vmx,.vmdk,.vmsn) și apoi ar încerca să suprascrieți spațiul de disc liber pentru a împiedica recuperarea. În mod neobișnuit, acest criptor ESXi specific nu a lăsat o notă de răscumpărare pe sistemele afectate.
pericolele mai largi ale software-ului de monitorizare și posturi defensive
Exploatarea rău intenționată a Kickidler are loc pe un fundal de preocupări mai largi cu privire la tehnologiile de supraveghere a locului de muncă. În timp ce incidentele actuale implică armament activ de către actori de amenințare externă, riscurile inerente ale software-ului de monitorizare au fost evidențiate într-o scurgere accidentală în ceea ce privește cererea de lucru WorkComposer.
Acest caz a implicat expunerea accidentală a peste 21 de milioane de capturi de ecran pentru angajați din cauza unei gălete Amazon S3 securizate necorespunzătoare-o reamintire a datelor sensibile ale acestor instrumente, chiar și fără interferența de malnică. WorkComposer’s Own Termeni și condiții Încercați să renunțați la răspunderea pentru astfel de încălcări de securitate pe internet.
Abuzul de abuzul de monitorizare legitimă de la distanță și instrumente de gestionare (RMM) este o amenințare persistentă recunoscută de autoritățile de cyberscurity. A Advisory comun de la CisA, NSA și MS-Isac în ianuarie 2023 specific în care NSA și MS-Isac în ianuarie 2023 specific în care se confruntă cu atacatorii care se încadrează în ianu. Instalarea software-ului portabil la distanță de la distanță.
Pentru a combate aceste amenințări în evoluție, experții în securitate pledează pentru un multi-layered “apărare în profunzime” abord. Recomandările cheie includ audituri cuprinzătoare ale tuturor instrumentelor de acces la distanță, implementarea unor controale stricte de aplicații pentru a preveni executarea software-ului RMM neautorizat, aplicarea politicilor care impun doar soluții de acces la distanță aprobate (cum ar fi VPN-uri sau VDI), iar blocarea proactivă a conexiunilor de intrare și de ieșire pe porturile RMM comune și protocoale, dacă nu este necesar în mod explicit pentru operațiuni legitime. De exemplu, subliniază importanța asigurării tuturor șapte straturi de cibersecuritate , de la elementul uman până la infrastructura critică de date.
