ABD’deki en az iki federal kurum, bir kimlik avı dolandırıcılığını sürdürmek için meşru uzaktan izleme ve yönetim (RMM) yazılımının kullanımını içeren “yaygın bir siber kampanyanın” kurbanı oldu.
ABD siber güvenlik yetkilileri, “Siber suçlu aktörler, özellikle, aktörlerin kurban banka hesaplarından para çalmak için para iadesi dolandırıcılığında kullandıkları meşru RMM yazılımı ScreenConnect (artık ConnectWise Control) ve AnyDesk’in indirilmesine yol açan kimlik avı e-postaları gönderdi.” dedim.
Ortak danışmanlık, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi’nden (MS-ISAC) geliyor.
2022 Haziran ortası ve Eylül ortasında gerçekleşen saldırıların mali nedenleri var, ancak tehdit aktörleri yetkisiz erişimi diğer bilgisayar korsanlığı ekiplerine satmak da dahil olmak üzere çok çeşitli faaliyetler yürütmek için silah haline getirebilir.
Uzak yazılımların suç grupları tarafından kullanılması, ayrıcalıkları yükseltmeye veya başka yollarla bir yer edinmeye gerek kalmadan bir ana bilgisayarda yerel kullanıcı erişimi sağlamak için etkili bir yol sunduğundan, uzun zamandır bir endişe kaynağı olmuştur.
Bir örnekte, tehdit aktörleri bir çalışanın resmi e-posta adresine telefon numarası içeren bir kimlik avı e-postası göndererek kişiyi kötü niyetli bir etki alanına yönlendirdi. CISA’ya göre e-postalar, en az Haziran 2022’den beri federal çalışanları hedef alan tehdit aktörleri tarafından düzenlenen yardım masası temalı sosyal mühendislik saldırılarının bir parçası.
Abonelikle ilgili mesajlar ya bir “ilk aşama” haydut etki alanı içerir ya da alıcıları aynı etki alanını ziyaret etmeleri için aktör tarafından kontrol edilen bir telefon numarasını aramaya ikna etmek için geri arama kimlik avı olarak bilinen bir taktik kullanır.
Kullanılan yaklaşımdan bağımsız olarak, kötü amaçlı etki alanı, RMM yazılımını taşınabilir yürütülebilir dosyalar biçiminde almak için ikinci aşama etki alanına bağlanan bir ikili dosyanın indirilmesini tetikler.
Nihai hedef, bir geri ödeme dolandırıcılığı başlatmak için RMM yazılımından yararlanmaktır. Bu, kurbanlara banka hesaplarına giriş yapmaları talimatı verilerek gerçekleştirilir, ardından aktörler banka hesabı özetini, kişiye yanlışlıkla fazla miktarda para iade edilmiş gibi gösterecek şekilde değiştirir.
Son adımda, dolandırıcılık operatörleri, e-posta alıcılarını ek tutarı iade etmeye teşvik ederek fonlarını etkili bir şekilde dolandırır.
CISA, etkinliği “büyük bir truva atı operasyonuna” bağladı ifşa Ekim 2022’de siber güvenlik firması Silent Push tarafından. Bununla birlikte, benzer telefon odaklı saldırı gerçekleştirme yöntemleri, Luna Moth (diğer adıyla Silent Ransom) dahil olmak üzere diğer aktörler tarafından benimsenmiştir.
“Bu kampanya, meşru RMM yazılımıyla ilişkili kötü niyetli siber faaliyet tehdidini vurgulamaktadır: kimlik avı veya diğer tekniklerle hedef ağa erişim sağladıktan sonra, siber suçlulardan ulus devlet destekli APT’lere kadar kötü niyetli siber aktörlerin meşru RMM yazılımını kullandıkları bilinmektedir. ısrar ve/veya komuta ve kontrol için bir arka kapı (C2),” diye uyardı ajanslar.
