Μια ενεργή εκστρατεία ηλεκτρονικού ψαρέματος (phishing) έχει παρατηρηθεί να στοχεύει πολλαπλούς φορείς τουλάχιστον από τον Απρίλιο του 2025, χρησιμοποιώντας νόμιμο λογισμικό Απομακρυσμένης Παρακολούθησης και Διαχείρισης (RMM) ως μέσο για την εδραίωση επίμονης απομακρυσμένης πρόσβασης σε παραβιασμένους κεντρικούς υπολογιστές.
Η δραστηριότητα αυτή, με την κωδική ονομασία «VENOMOUS#HELPER», έχει επηρεάσει περισσότερους από 80 οργανισμούς, οι περισσότεροι από τους οποίους βρίσκονται στις ΗΠΑ.
Αν και δεν είναι σαφές ποιος βρίσκεται πίσω από την εκστρατεία, οι αναλυτές εκτιμούν ότι ευθυγραμμίζεται με τις δράσεις ενός οικονομικά παρακινούμενου μεσάζοντα αρχικής πρόσβασης (IAB) ή με μια επιχείρηση που αποτελεί προάγγελο επίθεσης ransomware.
Η στρατηγική της διπλής πρόσβασης και η απάτη μέσω SSA
Η χρήση νόμιμων εργαλείων RMM επιτρέπει στους επιτιθέμενους να παρακάμπτουν τις άμυνες, καθώς το λογισμικό εγκαθίσταται από το ανυποψίαστο θύμα. Η ταυτόχρονη ανάπτυξη των SimpleHelp και ScreenConnect υποδηλώνει μια προσπάθεια δημιουργίας μιας «αρχιτεκτονικής πρόσβασης διπλού καναλιού», η οποία επιτρέπει τη συνέχιση των επιχειρήσεων ακόμη και αν ένα από τα δύο εργαλεία εντοπιστεί και αποκλειστεί.
Η διαδικασία ξεκινά με ένα email phishing που υποδύεται την Υπηρεσία Κοινωνικής Ασφάλισης των ΗΠΑ (SSA), οδηγώντας τον παραλήπτη να κατεβάσει μια υποτιθέμενη δήλωση μέσω ενός συνδέσμου σε παραβιασμένο ιστότοπο, ώστε να αποφευχθούν τα φίλτρα spam.
Τεχνικές λεπτομέρειες και μηχανισμοί επιμονής του κακόβουλου λογισμικού
Μόλις το θύμα ανοίξει το εκτελέσιμο αρχείο Windows, το οποίο είναι πακεταρισμένο ως JWrapper για να μοιάζει με έγγραφο, το malware εγκαθίσταται ως υπηρεσία των Windows με δυνατότητα επιμονής σε Ασφαλή Λειτουργία (Safe Mode).
Η λειτουργία του διασφαλίζεται από έναν «αυτοθεραπευόμενο ελεγκτή» (watchdog) που το επανεκκινεί αυτόματα αν τερματιστεί, ενώ το σύστημα απαριθμεί περιοδικά τα εγκατεστημένα προϊόντα ασφαλείας κάθε 67 δευτερόλεπτα και ελέγχει την παρουσία του χρήστη κάθε 23 δευτερόλεπτα.
Για την πλήρη διαδραστική πρόσβαση στην επιφάνεια εργασίας, ο πελάτης απομακρυσμένης πρόσβασης SimpleHelp αποκτά προνόμια επιπέδου SYSTEM, επιτρέποντας στον χειριστή να διαβάζει την οθόνη, να καταγράφει πληκτρολογήσεις και να έχει πρόσβαση στους πόρους του χρήστη.
Πλήρης έλεγχος και παράκαμψη των παραδοσιακών ελέγχων ασφαλείας
Αυτή η αναβαθμισμένη απομακρυσμένη πρόσβαση χρησιμοποιείται στη συνέχεια για τη λήψη και εγκατάσταση του ConnectWise ScreenConnect, προσφέροντας έναν εφεδρικό μηχανισμό επικοινωνίας σε περίπτωση διακοπής του καναλιού SimpleHelp. Η έκδοση του SimpleHelp που χρησιμοποιείται παρέχει ένα ολοκληρωμένο σύνολο δυνατοτήτων απομακρυσμένης διαχείρισης.
Ο οργανισμός-θύμα παραμένει σε μια κατάσταση όπου ο επιτιθέμενος μπορεί να επιστρέψει ανά πάσα στιγμή, να εκτελέσει εντολές σιωπηλά στη συνεδρία του χρήστη, να μεταφέρει αρχεία αμφίδρομα και να επεκταθεί σε γειτονικά συστήματα. Ταυτόχρονα, τα τυπικά προγράμματα προστασίας από ιούς και οι έλεγχοι που βασίζονται σε υπογραφές δεν εντοπίζουν τίποτα άλλο εκτός από νόμιμα υπογεγραμμένο λογισμικό από έναν αξιόπιστο προμηθευτή.
