Una nuova campagna di phishing sfrutta strumenti legittimi di gestione remota per aggirare i controlli e mantenere accesso persistente nei sistemi aziendali.
Autore: Redazione SecurityOpenLab
Un'operazione di phishing sofisticata e l’abuso di strumenti legittimi per il monitoraggio e la gestione remota hanno permesso a un gruppo di attaccanti di ottenere un accesso remoto persistente ai sistemi compromessi. Le tecniche sono documentate dettagliatamente in un paper realizzato da Red Canary Intelligence in collaborazione con Zscaler da cui emerge la chiara tendenza degli attaccanti di usare strumenti ampiamente utilizzati dagli amministratori IT per la gestione della rete, per bypassare le difese di ultima generazione. La tendenza è ben nota ed è la risposta alla sempre maggiore efficacia degli strumenti di detection nell’individuare e bloccare le minacce connotate come tali. Appellandosi alla versatilità che li caratterizza, gli attaccanti stanno quindi imparando a fare di necessità virtù: una volta entrati in una infrastruttura target, usano quello che trovano come arma a proprio favore.
Tutto parte dalle solite email di phishing: facendo buon uso di tecniche di social engineering, gli attaccanti inducono le potenziali vittime a scaricare e installare un apparente aggiornamento del browser (notoriamente viene sfruttata una finta pagina di update di Google Chrome che è il browser più diffuso in azienda), oppure ad accettare un invito a una riunione online (via Teams o Zoom, che sono le piattaforme più diffuse). Sono documentati anche invii di falsi inviti a eventi e di moduli governativi fasulli (IRS dichiarazioni fiscali).
Nel caso delle pagine di aggiornamento browser, l’utente è esposto a un overlay a schermo intero realizzato mediante uno script Java iniettato su siti compromessi. Lo script effettua il cosiddetto fingerprinting dell’utente, ossia colleziona dati quali tipo e versione del browser, sistema operativo, lingua di sistema, fuso orario, plugin installati, impostazioni di sicurezza, eccetera, e invia tutte le informazioni ai server di comando e controllo degli attaccanti, che sono gestiti tramite vere e proprie console amministrative.
L’utente che abbocca scarica un file MSI di ITarian firmato, spesso generato appositamente per il tenant dell’attaccante, che installa il servizio malevolo (RmmService.exe), un eseguibile dannoso ed esegue il sideloading di DLL modificate per favorire il caricamento di payload aggiuntivi finalizzati al furto di credenziali e alla distribuzione di malware successivi.
Nel caso degli inviti a meeting, invece, quelle che vengono installate sono versioni modificate di Atera, PDQ Connect o SimpleHelp. In alcuni casi l’installer viene distribuito tramite domini Cloudflare R2, che vengono usati come tattica living-off-the-land (sfruttando servizi affidabili per veicolare malware bypassando i controlli tradizionali).
Da notare che il coinvolgimento di piattaforme RMM non è una new entry: ci sono stati diversi precedenti soprattutto negli ultimi anni, inizialmente da parte di APT cinesi, nordcoreani e russi. Del resto, mettere le mani sull’RMM consente agli attaccanti di acquisire un accesso persistente, eseguire comandi, scaricare ulteriore malware o addirittura preparare attacchi ransomware senza suscitare sospetti. Qualsiasi attività condotta via RMM, anche se rilevata, sovente viene scambiata per normali routine di amministrazione IT. Nel particolare della campagna sotto indagine, i threat actor hanno abusato di strumenti come i sopraccitati ITarian (ex Comodo), PDQ Connect, SimpleHelp e Atera.
A rendere ancora più subdola la campagna è l’idea di installare due diversi RMM in sequenza, garantendo così backdoor multiple per incrementare la resilienza delle minacce.
Gli esperti di Red Canary raccomandano il monitoraggio continuo dei processi associati a strumenti RMM, con la creazione e manutenzione continua di una allowlist rigorosa che permetta di intercettare ogni utilizzo fuori policy o attività da percorsi inconsueti. È inoltre caldeggiata l’attuazione di controlli sulla rete, con tecniche come il browser isolation e filtri specifici per download di file eseguibili da domini poco conosciuti o appena registrati, in particolare con TLD sospette (.pro, .shop, .top).
Va da sé che in questi casi sia indicato anche il monitoraggio delle connessioni verso infrastrutture Cloudflare R2, che dev’essere considerato come un segnale critico di compromissione. Endpoint Detection & Response (EDR) avanzati e processi di threat hunting sono poi essenziali per ridurre il rischio di un attacco che sfrutta evidentemente l’ambiguità degli strumenti legittimi e la difficoltà di distinguere tra amministrazione autorizzata e movimenti ostili camuffati da routine IT.