🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha ativa de phishing foi observada visando vários vetores desde pelo menos abril de 2025, com software legítimo de monitoramento e gerenciamento remoto (RMM) como forma de estabelecer acesso remoto persistente a hosts comprometidos.
A atividade, codinome VENOMOUS#HELPER, impactou mais de 80 organizações, a maioria das quais está nos EUA, de acordo com a Securonix. Ele compartilha sobreposições com clusters anteriormente rastreados pela Red Canary e pela Sophos, a última das quais lhe deu o apelido de STAC6405. Embora não esteja claro quem está por trás da campanha, a empresa de segurança cibernética disse que ela se alinha com um Initial Access Broker (IAB) com motivação financeira ou com uma operação precursora de ransomware.
“Neste caso, RMMs SimpleHelp e ScreenConnect personalizados são usados para contornar as defesas, pois são legitimamente instalados pela vítima desavisada”, disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com o The Hacker News.
Deixando de lado o fato de que o uso de ferramentas RMM legítimas pode evitar a detecção, a implantação do SimpleHelp e do ScreenConnect indica uma tentativa de criar uma “arquitetura redundante de acesso de canal duplo” que permite operações contínuas mesmo quando qualquer um deles é detectado e bloqueado.
Tudo começa com um e-mail de phishing que se faz passar pela Administração da Segurança Social dos EUA (SSA), onde o destinatário é instruído a verificar o seu endereço de e-mail e a descarregar uma suposta declaração da SSA clicando num link incorporado na mensagem. O link aponta para um site comercial mexicano legítimo, mas comprometido ("gruta.com[.]mx"), indicando uma estratégia deliberada para evitar filtros de spam de e-mail.
A “declaração SSA” é então baixada de um segundo domínio controlado pelo invasor (“server.cubatiendaalimentos.com[.]mx”), um executável responsável por entregar a ferramenta SimpleHelp RMM. Acredita-se que o invasor obteve acesso a uma única conta de usuário cPanel no servidor de hospedagem legítimo para preparar o binário.
Assim que a vítima abre o executável do Windows empacotado pelo JWrapper, pensando que é um documento, o malware se instala como um serviço do Windows com persistência no Modo de Segurança, garante que esteja sendo executado por meio de um "watchdog de autocura" que o reinicia automaticamente quando morto e enumera periodicamente os produtos de segurança registrados usando o namespace WMI root\SecurityCenter2 a cada 67 segundos e pesquisa a presença do usuário a cada 23 segundos.
Para facilitar o acesso totalmente interativo à área de trabalho, o cliente de acesso remoto SimpleHelp adquire SeDebugPrivilege via AdjustTokenPrivileges, enquanto "elev_win.exe" – um arquivo executável legítimo associado ao software – é usado para obter privilégios de nível de SISTEMA. Isso, por sua vez, permite que o operador leia a tela, insira pressionamentos de teclas e acesse recursos do contexto do usuário.
Esse acesso remoto elevado é então usado para baixar e instalar o ConnectWise ScreenConnect, oferecendo um mecanismo de comunicação alternativo se o canal SimpleHelp for desativado.
“A versão implantada do SimpleHelp (5.0.1) fornece um conjunto abrangente de recursos de administração remota”, disseram os pesquisadores. “A organização vítima fica em um estado onde o invasor pode retornar a qualquer momento, executar comandos silenciosamente na sessão de desktop do usuário, transferir arquivos bidirecionalmente e migrar para sistemas adjacentes, enquanto antivírus padrão e controles baseados em assinatura não veem nada além de software legitimamente assinado de um fornecedor respeitável do Reino Unido.”
A atividade, codinome VENOMOUS#HELPER, impactou mais de 80 organizações, a maioria das quais está nos EUA, de acordo com a Securonix. Ele compartilha sobreposições com clusters anteriormente rastreados pela Red Canary e pela Sophos, a última das quais lhe deu o apelido de STAC6405. Embora não esteja claro quem está por trás da campanha, a empresa de segurança cibernética disse que ela se alinha com um Initial Access Broker (IAB) com motivação financeira ou com uma operação precursora de ransomware.
“Neste caso, RMMs SimpleHelp e ScreenConnect personalizados são usados para contornar as defesas, pois são legitimamente instalados pela vítima desavisada”, disseram os pesquisadores Akshay Gaikwad, Shikha Sangwan e Aaron Beardslee em um relatório compartilhado com o The Hacker News.
Deixando de lado o fato de que o uso de ferramentas RMM legítimas pode evitar a detecção, a implantação do SimpleHelp e do ScreenConnect indica uma tentativa de criar uma “arquitetura redundante de acesso de canal duplo” que permite operações contínuas mesmo quando qualquer um deles é detectado e bloqueado.
Tudo começa com um e-mail de phishing que se faz passar pela Administração da Segurança Social dos EUA (SSA), onde o destinatário é instruído a verificar o seu endereço de e-mail e a descarregar uma suposta declaração da SSA clicando num link incorporado na mensagem. O link aponta para um site comercial mexicano legítimo, mas comprometido ("gruta.com[.]mx"), indicando uma estratégia deliberada para evitar filtros de spam de e-mail.
A “declaração SSA” é então baixada de um segundo domínio controlado pelo invasor (“server.cubatiendaalimentos.com[.]mx”), um executável responsável por entregar a ferramenta SimpleHelp RMM. Acredita-se que o invasor obteve acesso a uma única conta de usuário cPanel no servidor de hospedagem legítimo para preparar o binário.
Assim que a vítima abre o executável do Windows empacotado pelo JWrapper, pensando que é um documento, o malware se instala como um serviço do Windows com persistência no Modo de Segurança, garante que esteja sendo executado por meio de um "watchdog de autocura" que o reinicia automaticamente quando morto e enumera periodicamente os produtos de segurança registrados usando o namespace WMI root\SecurityCenter2 a cada 67 segundos e pesquisa a presença do usuário a cada 23 segundos.
Para facilitar o acesso totalmente interativo à área de trabalho, o cliente de acesso remoto SimpleHelp adquire SeDebugPrivilege via AdjustTokenPrivileges, enquanto "elev_win.exe" – um arquivo executável legítimo associado ao software – é usado para obter privilégios de nível de SISTEMA. Isso, por sua vez, permite que o operador leia a tela, insira pressionamentos de teclas e acesse recursos do contexto do usuário.
Esse acesso remoto elevado é então usado para baixar e instalar o ConnectWise ScreenConnect, oferecendo um mecanismo de comunicação alternativo se o canal SimpleHelp for desativado.
“A versão implantada do SimpleHelp (5.0.1) fornece um conjunto abrangente de recursos de administração remota”, disseram os pesquisadores. “A organização vítima fica em um estado onde o invasor pode retornar a qualquer momento, executar comandos silenciosamente na sessão de desktop do usuário, transferir arquivos bidirecionalmente e migrar para sistemas adjacentes, enquanto antivírus padrão e controles baseados em assinatura não veem nada além de software legitimamente assinado de um fornecedor respeitável do Reino Unido.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #de #phishing #atinge #mais #de #80 #organizações #usando #ferramentas #rmm #simplehelp #e #screenconnect
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário