СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

PDF-атаки доставляют ScreenConnect и MSP360 через социальную инженерию

Недавние наблюдения SonicWall Capture Labs выявили серию сложных кампаний, в которых злоумышленники используют PDF-документы как вектор доставки программного обеспечения для удалённого мониторинга и управления (RMM) с целью несанкционированного доступа к системам жертв. Атаки опираются на социальную инженерию и доверие к легитимным сервисам, чтобы скрытно развернуть полноценный удалённый доступ в корпоративных и домашних средах.

Как работают эти кампании

Атаки реализованы через тщательно подготовленные PDF-файлы, которые выглядят правдоподобно и содержат встроенные гиперссылки, ведущие к дальнейшему компромету. Основные сценарии включают:

  • Загрузка MSI-инсталлятора ScreenConnect: нажатие на ссылку в PDF инициирует загрузку MSI-файла установщика ScreenConnect — легитимного инструмента RMM, который в данном случае разворачивается без согласия пользователя. Злоумышленники используют его цифровую подпись для обхода ряда средств защиты, получая возможности передачи файлов, выполнения команд и просмотра экрана.
  • Имитация сообщений от государственных служб: одна вариация имитирует уведомление от Администрации социального обеспечения. Переход по ссылке ведёт на вредоносный URL, который загружает ZIP-архив с якобы законным документом. Внутри архива находится командный файл Windows (.cmd), запускающий скрытый процесс PowerShell для установки ScreenConnect.
  • Фальшивое финансовое соглашение и MSP360: кампания, выдающая себя за несуществующую организацию «Swift Labs», приводит к загрузке установщика MSP360 — коммерческого решения для резервного копирования и удалённого управления. Хотя MSP360 предназначен для законной работы IT, его несанкционированное использование угрожает раскрытием конфигураций резервного копирования и учётных данных облачного хранилища.

Методы уклонения и инфраструктура атак

Атаки демонстрируют продуманное использование техник living-off-the-land и доверенных сервисов. Злоумышленники:

  • размещают полезные нагрузки на общедоступных облачных платформах, таких как Dropbox;
  • используют коммерчески подписанные двоичные файлы, чтобы избегать детектирования на основе хешей и простых сигнатур;
  • целятся на то, чтобы вредоносные файлы оставались отсутствующими в базах крупных платформ анализа вредоносного ПО, таких как VirusTotal, что указывает на их новизну и низкую степень пометности как угроз.

Почему это особенно опасно

  • Цифровая подпись легитимного ПО снижает эффективность многих AV-решений и позволяет вредоносному ПО работать длительное время.
  • Инструменты RMM предоставляют злоумышленникам полный набор возможностей удалённого контроля: передача файлов, выполнение команд, доступ к экрану и т.д.
  • Использование доверенных облачных хранилищ и методов living-off-the-land затрудняет обнаружение поведения атак и привлекает меньше подозрений со стороны пользователей.
  • Отсутствие индикаторов в публичных репозиториях, таких как VirusTotal, увеличивает риск позднего обнаружения и реагирования.

Рекомендации по защите

Специалисты по кибербезопасности и конечные пользователи должны принять дополнительные меры предосторожности:

  • Не переходить по ссылкам в непроверенных или неожиданно полученных PDF-документах; при сомнениях обращаться к отправителю по независимым каналам.
  • Загружать установочные файлы только с официальных сайтов вендоров и проверять их цифровые подписи, при этом учитывая, что подпись сама по себе не гарантирует безопасность.
  • Ограничить установку и использование RMM-инструментов политиками на уровне групповой политики и контроля доступа, использовать принцип наименьших прав.
  • Внедрять поведенческий анализ и sandboxing для детектирования подозрительной активности, даже если файл отсутствует в базах типа VirusTotal.
  • Мониторить исходящие соединения и аномалии в сетевом трафике, а также хранить резервные копии в изолированных (air-gapped) хранилищах.
  • Провести аудит конфигураций резервного копирования и прав доступа к облачному хранилищу, особенно если используется MSP360 или аналогичные решения.

«Недавние наблюдения SonicWall Capture Labs выявили серию сложных кампаний, использующих PDF-файлы для доставки программного обеспечения для удаленного мониторинга и управления (RMM) с целью несанкционированного доступа к системам жертв.»

Вывод очевиден: злоумышленники активно адаптируют свои методы, используя доверенные инструменты и сервисы. Это требует от организаций повышения уровня бдительности, обновления политик управления ПО и усиления средств обнаружения, чтобы своевременно противодействовать новым, малоизвестным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: