СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
1 января
#ИБ

Атака через RMM: Eternl.msi распространяет вредоносный криптокошелёк

Недавняя кампания злоумышленников использовала легитимно выглядящие инструменты удалённого мониторинга и управления (RMM) для распространения вредоносного крипто‑кошелька. Зловред упакован в инсталлятор Windows и маскируется под официальное ПО, что повышает вероятность успешного скомпрометирования целевых систем.

Ключевые факты

  • Имя файла: Eternl.msi
  • Размер: 23,3 МБ
  • Хэш: 8fa4844e40669c1cb417d7cf923bf3e0
  • Маскировка: рекламируется как LogMeIn Resolve Unattended v1.30.0.636

Как работает кампания

Файл Eternl.msi распространяется как MSI‑инсталлятор, что подразумевает попытки добраться до закрепления (persistence) на целевых машинах. Маскировка под LogMeIn Resolve Unattended v1.30.0.636 вводит пользователей в заблуждение и повышает доверие — администратору кажется, что он устанавливает известный инструмент для удалённого управления.

Использование RMM-инструментов злоумышленниками — тревожная тенденция: по сути, легитимный функционал управления устройствами и удалённого доступа превращается в механизм распространения и контроля. После установки полезной нагрузки атакующие, вероятно, получают механизмы удалённого доступа, позволяющие полностью контролировать скомпрометированные системы.

Целевые аудитории и мотивация

Кампания специально нацелена на пользователей, управляющих криптовалютами или хранящих их — злоумышленники, судя по всему, рассчитывают воспользоваться растущим интересом к цифровым активам. Это согласуется с классическими мотивами: кража приватных ключей, доступ к кошелькам и вывод средств.

Технические замечания для специалистов

  • Формат распространения — MSI — позволяет выполнять системные операции установки и создавать механизмы persistence.
  • Маскировка под известный RMM‑продукт облегчает обход внимания пользователей и может снизить вероятность срабатывания базовых политик безопасности.
  • RMM‑платформы по‑своему «двулики»: они необходимы для управления ИТ, но при неправильной защите становятся вектором атак.

Рекомендации по защите и реагированию

Организациям и администраторам следует принять следующие практические меры:

  • Блокировать в EDR/AV хэш 8fa4844e40669c1cb417d7cf923bf3e0 и имя файла Eternl.msi до дополнительного расследования.
  • Ограничить право на установку MSI‑пакетов через групповую политику и использовать application whitelisting.
  • Проверить логи RMM и SIEM на предмет неожиданной установки или активации «удалённого помощника», а также на аномалии в поведении учётных записей с привилегиями.
  • Пройти процедуру threat hunting: искать признаки persistence, удалённых сессий, нестандартных сетевых соединений и процессов, запускаемых от имени системных сервисов.
  • Внедрить или усилить многофакторную аутентификацию и ротацию учётных данных для RMM‑аккаунтов.
  • Сегментировать сеть и ограничить доступ RMM‑агентов к критичным сегментам, где хранятся криптовалютные кошельки или приватные ключи.
  • Провести инвентаризацию и аудит используемых RMM‑решений: обновить до последних версий и убедиться в корректных настройках безопасности.
  • При подтверждённом компромиссе — изолировать пострадавшие хосты, собрать артефакты (логи, дампы памяти), удалить вредоносную полезную нагрузку и провести процедуру восстановления из надёжных бэкапов.

Вывод

Кампания с использованием Eternl.msi подчёркивает растущую угрозу злоупотреблениями RMM‑инструментами. Законный софт может быть использован как платформа для масштабных атак против инфраструктуры и цифровых активов. Постоянный мониторинг, жёсткие политики управления установками и усиление контроля над RMM‑доступом — ключевые элементы защиты от подобных кампаний в будущем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: