Floris Hulshoff Pol - 29 januari 2023

VS instanties waarschuwen voor aanvallen met RMM-tools

VS instanties waarschuwen voor aanvallen met RMM-tools image

De Amerikaanse organisaties Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) en Multi-State Information Sharing and Analysis Center (MS-ISAC) geven een gezamenlijke Cybersecurity Advisory (CSA) om netwerk security specialisten te waarschuwen voor kwaadwillig gebruik van legitieme software voor bewaking en beheer op afstand ofwel Remote Monitoring and Management (RMM) software. 

In oktober 2022 identificeerde CISA een wijdverbreide cybercampagne waarbij kwaadwillig gebruik werd gemaakt van legitieme RMM-software. Met name cybercriminele actoren stuurden phishing-e-mails die leidden tot het downloaden van legitieme RMM-software—ScreenConnect (nu ConnectWise Control) en AnyDesk—die de actoren gebruikten bij een terugbetalingszwendel om geld te stelen van bankrekeningen van slachtoffers.

Hoewel deze campagne financieel gemotiveerd lijkt, beoordelen de auteurorganisaties dat deze kan leiden tot andere soorten kwaadaardige activiteiten. De actoren kunnen bijvoorbeeld toegang tot slachtofferaccounts verkopen aan andere cybercriminelen of actoren voor geavanceerde aanhoudende bedreigingen (APT's). Deze campagne benadrukt de dreiging van kwaadwillende cyberactiviteiten in verband met legitieme RMM-software: nadat ze toegang hebben gekregen tot het doelnetwerk via phishing of andere technieken, is het bekend dat kwaadwillende cyberactoren - van cybercriminelen tot door nationale staten gesponsorde APT's - legitieme RMM-software gebruiken als een achterdeur voor volharding en/of commando en controle (C2).

Het gebruik van draagbare uitvoerbare bestanden van RMM-software biedt actoren een manier om lokale gebruikerstoegang tot stand te brengen zonder de noodzaak van beheerdersbevoegdheden en volledige software-installatie, waardoor algemene softwarecontroles en aannames op het gebied van risicobeheer effectief worden omzeild.

De auteursorganisaties moedigen netwerkverdedigers sterk aan om de secties Indicators of Compromise (IOC's) en Mitigations in deze CSA te bekijken en de aanbevelingen toe te passen ter bescherming tegen kwaadwillig gebruik van legitieme RMM-software.

Download de pdf-versie van dit rapport: pdf, 608 kb.

 

 

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024