การดำเนินงาน ransomware ที่ซับซ้อนกำลังใช้ประโยชน์จากซอฟต์แวร์การตรวจสอบพนักงานที่ถูกต้องตามกฎหมาย Kickidler เปลี่ยนจากเครื่องมือการกำกับดูแลสถานที่ทำงานให้กลายเป็นแพลตฟอร์มจารกรรมที่มีศักยภาพสำหรับการแทรกซึมของเครือข่ายลึกและการขโมยข้อมูลรับรอง
การละเมิดนี้ช่วยให้ผู้โจมตีสามารถติดตามกิจกรรมของผู้ใช้อย่างพิถีพิถันจับการกดแป้นพิมพ์บันทึกการกระทำของหน้าจอและในที่สุดก็เก็บเกี่ยวข้อมูลที่ละเอียดอ่อนที่สำคัญสำหรับการโจมตีที่เพิ่มขึ้นโดยเฉพาะอย่างยิ่งกับสภาพแวดล้อม VMware ESXI ที่มีค่า การค้นพบที่ได้รับการยืนยันโดยช่องข่าวด้านความปลอดภัยหลายแห่งในช่วงต้นเดือนพฤษภาคม 2568 เน้นแนวโน้มที่เป็นอันตรายซึ่งเครื่องมือภายในที่เชื่อถือได้ถูกบดบังมาตรการรักษาความปลอดภัย
ไซต์ดาวน์โหลดปลอมแพร่กระจายไปยังเครื่องยนต์ที่มีการลดลง พิษ ผู้โจมตีสร้างเว็บไซต์ที่เป็นอันตรายเช่นเว็บไซต์ดาวน์โหลด RVTools ปลอมและโปรโมตพวกเขาในผลลัพธ์ของเครื่องมือค้นหา
ผู้ดูแลระบบที่ไม่สงสัยดาวน์โหลดสิ่งที่ดูเหมือนจะเป็นยูทิลิตี้การจัดการด้านไอทีที่ถูกกฎหมายเช่น Smokedham PowerShell.net Backdoor ซึ่งต่อมาติดตั้ง Kickidler วิธีนี้เป็นเรื่องร้ายกาจโดยเฉพาะอย่างยิ่งเนื่องจากใช้ประโยชน์จากสิทธิพิเศษที่สูงมักเกี่ยวข้องกับบัญชีผู้ดูแลระบบ
มูลค่าเชิงกลยุทธ์ของ Kickidler สำหรับนักแสดงภัยคุกคามเหล่านี้มีความสำคัญ Varonis อธิบายว่าซอฟต์แวร์ช่วยให้ผู้โจมตีสามารถเอาชนะการป้องกันเช่นการพิสูจน์ตัวตนของระบบสำรองข้อมูล:
“ Kickidler กล่าวถึงปัญหานี้โดยการจับการกดแป้นและหน้าเว็บจากเวิร์กสเตชันของผู้ดูแลระบบ ตรวจพบ”
ความสามารถนี้ทำได้โดยไม่ต้องใช้วิธีการตรวจจับได้ง่ายขึ้นเช่นการทิ้งหน่วยความจำ วัตถุประสงค์สูงสุดคือการเข้ารหัสโครงสร้างพื้นฐานที่สำคัญซึ่งนำไปสู่การหยุดชะงักของการดำเนินงานอย่างกว้างขวางและความต้องการทางการเงินที่สำคัญ
ผู้โจมตีใช้ประโยชน์จากเครื่องมือที่ถูกกฎหมายสำหรับการเข้าถึงเครือข่ายลึก
กลไกรายละเอียดของการโจมตีเหล่านี้ตามที่ระบุไว้โดย คิตตี้ ซึ่งเป็นส้อมของไคลเอนต์ SSH Putty กลไกการคงอยู่เพิ่มเติมหรือกลไกการควบคุมและควบคุม (C2), ซอฟต์แวร์การตรวจสอบระยะไกลและการจัดการ (RMM) เช่นเดียวกับ AnyDesk การกรองข้อมูลเป็นขั้นตอนสำคัญก่อนการเข้ารหัส ในกรณีศึกษา Varonis ผู้โจมตีใช้ winscp เพื่อขโมยข้อมูลเกือบเทราไบต์ คุณสมบัติที่ถูกต้องตามกฎหมายของ Kickidler ใช้โดยองค์กรกว่า 5,000 องค์กรตาม นักพัฒนา href=”https://www.synacktiv.com/en/publications/case-study-how-menters-international-and-driends-target-our-ypervisors”target=”blank”เทคนิคและขั้นตอน (TTPS) Hunters International ซึ่งเกิดขึ้นเมื่อเดือนตุลาคม 2566 หลังจากมีรายงานว่าได้รับสินทรัพย์จากกลุ่ม Hive Ransomware ที่ถูกรื้อถอนได้ถูกพบโดยใช้ผู้ติดตั้ง RVTools Trojanized เพื่อส่งมอบ Backdoor Smokedham SynackTiv เชื่อมโยง Smokedham กับ unc2465 นักแสดงภัยคุกคาม (อ้างถึงโดย SynackTiv เป็น’Grabber’และติดตั้งผ่าน `grem.msi`) ถูกใช้เป็นเวลาหลายสัปดาห์ในการสอดแนมผู้ดูแลระบบ นักวิจัย SynackTiv เน้นความแปลกใหม่ของวิธีการนี้โดยระบุว่า“ นี่เป็นครั้งแรกที่เราเห็นเครื่องมือที่ถูกต้องตามกฎหมายที่ใช้โดยผู้โจมตี” BleepingComputer รายงานในเดือนสิงหาคม 2567 เกี่ยวกับกลุ่มที่เผยแพร่หนู Sharprhino ผ่าน การเชื่อมต่ออัตโนมัติ โฮสต์แล้วใช้ WinSCP เพื่อถ่ายโอนและดำเนินการ ransomware ขั้นตอนสำคัญที่เกี่ยวข้องกับการปิดการใช้งานการตรวจสอบความสมบูรณ์ของ ESXI สำหรับไฟล์ที่ใช้งานได้ ransomware เองซึ่งเป็นจุดเชื่อมต่อผู้ใช้เทอร์มินัลมักถูกตั้งค่าสำหรับการดำเนินการล่าช้า
มันจะหยุดเครื่องเสมือนเข้ารหัสไฟล์ของพวกเขา (กำหนดเป้าหมายส่วนขยายเช่น. vmx,.vmdk,.vmsn) จากนั้นพยายามเขียนทับพื้นที่ดิสก์ฟรี Esxi Encryptor ที่เฉพาะเจาะจงนี้ไม่ได้ทิ้งโน้ตค่าไถ่ไว้ในระบบที่ได้รับผลกระทบ
ความเสี่ยงที่กว้างขึ้นของซอฟต์แวร์การตรวจสอบและท่าป้องกัน
การแสวงหาผลประโยชน์ที่เป็นอันตราย ในขณะที่เหตุการณ์ในปัจจุบันเกี่ยวข้องกับการใช้อาวุธโดยนักแสดงภัยคุกคามภายนอกความเสี่ยงโดยธรรมชาติของซอฟต์แวร์การตรวจสอบถูกเน้นในการรั่วไหลโดยไม่ตั้งใจเกี่ยวกับแอปพลิเคชัน WorkComposer WorkComposer ของตัวเอง ข้อกำหนดและเงื่อนไข พยายามที่จะปฏิเสธความรับผิดต่อการละเมิดความปลอดภัยของอินเทอร์เน็ต A
เพื่อต่อสู้กับภัยคุกคามที่กำลังพัฒนาเหล่านี้ผู้เชี่ยวชาญด้านความปลอดภัยสนับสนุนให้มีหลายเลเยอร์ เจ็ดชั้นของความปลอดภัยทางไซเบอร์ จากองค์ประกอบของมนุษย์จนถึงโครงสร้างข้อมูลที่สำคัญ
เพื่อต่อสู้กับภัยคุกคามที่กำลังพัฒนาเหล่านี้ผู้เชี่ยวชาญด้านความปลอดภัยสนับสนุนให้มีหลายเลเยอร์ เจ็ดชั้นของความปลอดภัยทางไซเบอร์ จากองค์ประกอบของมนุษย์จนถึงโครงสร้างข้อมูลที่สำคัญ
