Investigadores de ciberseguridad han revelado detalles de una nueva campaña de doble vector que aprovecha las credenciales robadas para implementar software legítimo de gestión y monitoreo remoto (RMM) para un acceso remoto persistente a hosts comprometidos.
“En lugar de implementar virus personalizados, los atacantes eluden los perímetros de seguridad utilizando las herramientas de TI necesarias en las que confían los administradores”, dijeron los investigadores de KnowBe4 Threat Labs Jeewan Singh Jalal, Prabhakaran Ravichandhiran y Anand Bodke. “Al robar una 'llave maestra' del sistema, convierten el software legítimo de gestión y monitoreo remoto (RMM) en una puerta trasera permanente”.
El ataque se produce en dos oleadas distintas, en las que los actores de la amenaza utilizan notificaciones de invitación falsas para robar las credenciales de la víctima y luego utilizan estas credenciales robadas para implementar herramientas RMM para establecer un acceso persistente.
Los correos electrónicos falsos están disfrazados de una invitación de una plataforma legítima llamada Greenvelope y tienen como objetivo engañar a los destinatarios para que hagan clic en una URL de phishing que pretende proporcionar su Microsoft Outlook, Yahoo! y AOL.com. Una vez que esta información está disponible, el ataque pasa a la siguiente fase.
Específicamente, el actor de la amenaza se registra en LogMeIn y utiliza el correo electrónico comprometido para generar tokens de acceso RMM, que luego se utilizan en un ataque de seguimiento a través de un archivo ejecutable llamado “GreenVelopeCard.exe” para establecer un acceso remoto persistente a los sistemas de las víctimas.
El archivo binario, firmado con un certificado válido, contiene una configuración JSON que sirve como canal para instalar silenciosamente LogMeIn Resolve (anteriormente GoTo Resolve) y conectarse a una URL controlada por el atacante sin el conocimiento de la víctima.
Con la herramienta RMM ahora implementada, los actores de amenazas están utilizando el acceso remoto como arma para cambiar la configuración de su servicio para que se ejecute en Windows con acceso completo. El ataque también configura tareas programadas ocultas para iniciar automáticamente el programa RMM incluso si el usuario lo detiene manualmente.
Para contrarrestar la amenaza, se recomienda que las organizaciones presten atención a las instalaciones y patrones de uso de RMM no autorizados.
About The Author
