Ваш начальник может любить использовать приложения для мониторинга сотрудников, чтобы держать вас под контролем, но преступники любят шпионское ПО еще больше. Злоумышленники теперь используют легитимное ПО для наблюдения за сотрудниками, чтобы внедриться в корпоративные сети и попытаться развернуть программы-вымогатели.
В конце января и начале февраля команда реагирования Huntress зафиксировала два вторжения, в ходе которых преступники использовали Net Monitor for Employees Professional в связке с инструментом удаленного мониторинга и управления (RMM) SimpleHelp, а затем пытались развернуть программы-вымогатели на компьютерах жертв.
Хотя преступникам в конечном итоге не удалось достичь своей цели, инциденты безопасности подчеркивают, как злоумышленники любят использовать легитимное коммерческое программное обеспечение в злонамеренных целях, поскольку это облегчает им сокрытие в корпоративных ИТ-средах.
“RMM и инструменты мониторинга сотрудников сливаются с легитимными подписанными бинарными файлами”, — сказал Майкл Тиггес, старший аналитик отдела безопасности Huntress, — добавив, что “это редкий случай, когда программное обеспечение для мониторинга сотрудников было использовано для последующего доступа”.
Хотя ни один из работодателей жертв не использует Net Monitor, перепрофилирование такого типа программного обеспечения для мониторинга сотрудников попадает в “ту же категорию злоупотреблений RMM”, сказал Тиггес. “Отличить, что может быть вредоносным, а что — безвредным на первый взгляд, чрезвычайно сложно. Злоумышленники это тоже знают”.
Жертвы, как нам сообщили, были из разных отраслей, и “скорее всего, стали случайными целями, а не какой-либо конкретной группой”, добавил он.
Это редкий случай, когда программное обеспечение для мониторинга сотрудников было использовано для последующего доступа
Тиггес отмечает, что “существуют законные сценарии использования программного обеспечения для мониторинга сотрудников — в основном, связанные с предотвращением утечки данных”.
Однако этот конкретный тип “bossware” выполняет гораздо больше, чем просто пассивный мониторинг экрана. Он также может устанавливать удаленные соединения через командную строку и удаленно выполнять команды на настольных компьютерах пользователей. Это делает его идеальным для использования преступниками, даже без модификации или заражения установщиков.
“Злоумышленники использовали эту возможность для проведения разведки с прямым доступом к клавиатуре, доставки дополнительных инструментов и развертывания вторичных каналов удаленного доступа, эффективно превращая инструмент мониторинга сотрудников в полнофункциональный RAT (троян удаленного доступа)”, — написали Тиггес и его коллеги-охотники за угрозами Анна Фам, Дрей Ага и Антон Овруцкий в блоге в среду.
Как ранее сообщал The Register, слежка за работниками также негативно сказывается на моральном духе и не способствует лояльности к компании, не говоря уже о том, что RAT, санкционированные работодателями, чертовски пугают.
Вот что произошло
В первом случае, который команда Huntress наблюдала в конце января, злоумышленник каким-то образом установил Net Monitor for Employees на машине жертвы. Huntress не знает, как злоумышленник получил первоначальный доступ.
Но как только они проникли, преступники приступили к манипулированию учетными записями пользователей с помощью различных сетевых команд. Это включало попытки определить действительные имена пользователей, сбросить пароли и создать новые учетные записи администраторов на хосте.
“По мере того как мы продолжали расследование, мы заметили, что терминал ‘Net Monitor for Employees’ загружал файл через PowerShell с именем vhost.exe с IP-адреса 160.191.182[.]41”, — написали охотники за угрозами.
Исполняемый файл оказался SimpleHelp, который злоумышленник затем использовал в нескольких попытках вмешаться в работу Windows Defender. Когда это не удалось, злоумышленник попытался развернуть несколько версий программы-вымогателя Crazy, связанной с VoidCrypt.
Во втором инциденте, который произошел в начале февраля, злоумышленник использовал скомпрометированную учетную запись стороннего SSL VPN для получения первоначального доступа к компьютеру жертвы. Затем они подключились к контроллеру домена с помощью протокола удаленного рабочего стола, запустили сеанс PowerShell и установили агент Net Monitor, настроив обратное соединение для вызова на консоль, контролируемую злоумышленником.
Net Monitor позволяет пользователям настраивать имена служб и процессов, и злоумышленник воспользовался этим, чтобы замаскировать агент под Microsoft OneDrive, зарегистрировав службу как OneDriveSvc, назвав процесс OneDriver.exe и переименовав запущенный исполняемый файл в svchost.exe.
Затем злоумышленник установил SimpleHelp и настроил его на мониторинг ключевых слов, указывающих на криптовалютные кошельки, биржи, блокчейн-эксплореры и платежные платформы. Это, как отмечает Huntress, указывает на то, что “финансовая мотивация злоумышленника выходит за рамки программ-вымогателей и включает прямую кражу криптовалюты”.
Агент SimpleHelp также отслеживал ключевые слова, связанные с доступом к удаленным инструментам, включая RDP, AnyDesk, TeamViewer и VNC.
Тем временем они использовали Net Monitor for Employees Professional для проведения сетевой разведки на скомпрометированном контроллере домена, исследования внутренних сегментов сети и картирования сетевых настроек.
Huntress заявляет, что общая инфраструктура, использованная в обоих случаях, а также повторное использование имени файла vhost.exe и перекрывающиеся IP-адреса, “убедительно свидетельствуют” о едином злоумышленнике или группе, стоящей за двумя вторжениями.
И чтобы не стать следующей жертвой, включите многофакторную аутентификацию (MFA) на всех службах удаленного доступа и внешних приложениях, а также ограничьте удаленный доступ только для тех пользователей и систем, которым он необходим для выполнения их работы.
Аналитики безопасности также предлагают проводить регулярные аудиты всех сторонних RMM-инструментов и программного обеспечения для мониторинга сотрудников, а также отслеживать любые необычные цепочки выполнения процессов. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
