Die KnowBe4 Threat Labs informieren über eine ausgeklügelte Dual-Vektor-Kampagne, die die Bedrohungskette nach der Kompromittierung von Anmeldedaten demonstriert. Anstatt maßgeschneiderte Malware einzusetzen, umgehen die Angreifer die Sicherheitsperimeter, indem sie IT-Tools missbrauchen, denen von IT-Administratoren vertraut wird. Indem sie sich einen „Generalschlüssel” für das System verschaffen, verwandeln sie legitime Remote-Monitoring and Management (RMM)-Software in eine dauerhafte Backdoor.
Die beobachtete Kampagne verläuft in zwei unterschiedlichen Phasen: Zunächst werden durch gefälschte Einladungsbenachrichtigungen Zugangsdaten gesammelt, anschließend werden diese Zugangsdaten dazu missbraucht, legitime RMM-Software zu installieren, die einen dauerhaften Backdoor-Zugang zu den Systemen der Opfer herstellt.
Credential-Harvesting
Der Angriff beginnt mit einer Phishing-E-Mail, die als Einladung von Greenvelope getarnt ist. Greenvelope ist ein US-amerikanischer Servicedienstleister für Firmenveranstaltungen und Hochzeiten, deshalb sind die „Social-Engineering-Indikatoren“ subtil. Opfer, die auf die Einladung klicken, werden zu einer sehr überzeugenden gefälschten Anmeldeseite weitergeleitet, die dazu dient, ihre Anmeldedaten zu erfassen.
Der Diebstahl gültiger Anmeldedaten ist nicht das endgültige Ziel, sondern der entscheidende Schritt für die zweite Phase dieser Angriffsstrategie.
RMM-Development
Für den Angreifer ist ein gültiges Passwort nicht das Endziel, sondern lediglich das Mittel zum Zweck. Sobald die Anmeldedaten gesichert sind, generieren die Angreifer legitime RMM-Zugriffstoken. Diese Token werden dann in Folgeangriffen über eine Datei namens „GreenVelopeCard.exe“ eingesetzt, um einen dauerhaften Fernzugriff auf die Systeme der Opfer herzustellen.
Durch die Verwendung von legitim signierter Software eines vertrauenswürdigen Anbieters kann die Malware viele Sicherheitslösungen umgehen, die auf signaturbasierter Erkennung beruhen.
Präventive Maßnahmen
Angesichts solcher sich schnell entwickelnder Taktiken können sich Sicherheitsteams keine abwartende Haltung mehr in Bezug auf die Aufklärung der Benutzer leisten. Sie müssen schnell handeln, um diesen ausgeklügelten Bedrohungen entgegenzuwirken. Human-Risk-Management (HRM) bietet hierfür den Rahmen, indem es die traditionellen Silos zwischen Threat Research und Security-Awareness aufbricht.
Eine HRM-Plattform synthetisiert kontinuierlich Verhaltensdaten, Produkttelemetrie und Echtzeit-Bedrohungsinformationen, um Risikobewertungen für jeden einzelnen Benutzer zu generieren. Dieser datengesteuerte Ansatz ermöglicht es der Plattform, technische Kontrollen und hyper-personalisierte Schulungen zu automatisieren, um einzugreifen und Benutzer zu coachen. Der effektivste Weg, diese Verteidigung aufzubauen, besteht darin, Phishing-Vorfälle – wie den „Greenvelope”-Missbrauch – in eine simulierte Phishing-Kampagne umzuwandeln. Dadurch wird ein hochpräzises Training ermöglicht, das die Benutzer in die Lage versetzt, komplexe Bedrohungen in Echtzeit zu erkennen und zu melden.
Fazit
Um das Risiko von RMM-basierten Angriffen zu mindern, sollten Sicherheitsteams eine Reihe von Sofortmaßnahmen priorisieren, dazu zählen die Suche nach bereitgestellten IOCs, die Blockierung identifizierter C2-Domänen und die Überwachung nicht autorisierter RMM-Installationen und Nutzungsmuster.
Info: Weitere Details finden sich hier: : https://blog.knowbe4.com/the-skeleton-key-how-attackers-weaponize-trusted-rmm-tools-for-backdoor-access
#KnowBe4
