vendredi, 29 mars 2024

Les attaquants utilisent des exécutables portables de logiciels de gestion à distance avec un grand effet

Tromper les utilisateurs d’organisations ciblées pour qu’ils mettent en place un logiciel légitime de surveillance et de gestion à distance (RMM) est devenu un schéma familier utilisé par les assaillants financièrement déterminés.

Aucune organisation est épargnée, pas même les agences de l’exécutif civil fédéral des États-Unis, comme l’a averti mercredi la Cybersecurity and Facilities Security Agency (CISA).

Méthode opératoire des attaquants

« En En octobre 2022, la CISA a identifié une vaste cybercampagne impliquant l’utilisation malveillante d’applications logicielles RMM légitimes. Plus précisément, des cybercriminels ont envoyé des e-mails d’hameçonnage qui ont conduit au téléchargement de logiciels RMM légitimes : ScreenConnect (désormais ConnectWise Control) et AnyDesk. que les acteurs ont utilisé dans une fraude au remboursement pour prélever de l’argent sur les comptes bancaires des victimes », a partagé l’agence.

Après avoir découvert le logiciel installé de manière malveillante sur un système de l’une des entreprises de la FCEB, la CISA est allée chercher et trouvé des systèmes plus ainsi compromis à d’autres firmes.

Les e-mails de phishing ont pour thème le service d’assistance – par exemple, se faire passer pour la Geek Squad ou GeekSupport – et « menacent » le destinataire avec le renouvellement d’un service/abonnement coûteux. L’objectif est d’amener le destinataire à appeler un numéro de téléphone particulier tenu par les agresseurs, qui tentent ensuite de convaincre la cible d’installer l’application logicielle de gestion à distance.

« CISA a noté que les stars n’ont pas installé téléchargé Clients RMM sur l’hôte menacé. Au lieu de cela, les stars ont téléchargé AnyDesk et ScreenConnect en tant qu’exécutables portables autonomes configurés pour se connecter au serveur RMM de la star », a expliqué la société.

« Lancement des exécutables portables dans le contexte de l’utilisateur sans installation. En raison du fait que les exécutables portables n’ont pas besoin des avantages de l’administrateur, ils peuvent permettre l’exécution d’applications logicielles non approuvées même si un contrôle de gestion des dangers peut être en place pour auditer ou bloquer la configuration de la même application logicielle sur le réseau. les stars peuvent profiter d’un exécutable portable avec des droits d’utilisateur locaux pour attaquer d’autres appareils sensibles au sein de l’intranet régional ou établir un accès persistant à long terme en tant que lo cal user service. »

De même, les logiciels RMM ne déclenchent généralement pas de services antivirus ou anti-malware sur les terminaux.

Cibles potentielles et risque de recommandations d’atténuation

Dans le projet découvert par CISA, les stars ont utilisé le logiciel RMM pour initier une arnaque au remboursement, mais elles pouvaient tout aussi rapidement faire autre chose avec l’accès obtenu. Par exemple, ils pourraient l’utiliser pour tenter d’accéder à d’autres systèmes sur le même réseau, ou simplement offrir un accès au compte de la victime aux gangs de rançongiciels ou aux acteurs APT.

Et bien que n’importe quelle entreprise puisse constituer une excellente cible , les entreprises gérées (MSP) et les services d’assistance informatique tirent le meilleur parti, car ils utilisent l’application logicielle RMM pour interagir depuis un autre emplacement (et légitimement !) Avec les systèmes des consommateurs.

« Ces acteurs de danger peuvent utiliser relations de confiance dans les réseaux MSP et accès à un grand nombre de clients du MSP victime. Les compromissions MSP peuvent introduire des risques considérables, tels que les ransomwares et le cyberespionnage, pour les consommateurs du MSP », a ajouté CISA.

Le l’entreprise a partagé des signes de compromis que n’importe qui peut utiliser pour chercher la preuve d’une attaque réussie sur ses systèmes, et a en fait utilisé des conseils pour les défenseurs du réseau sur la façon de réduire ce danger particulier.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici