Рост атак с использованием ScreenConnect: новые угрозы кибербезопасности

Рост атак с использованием ScreenConnect: новые угрозы кибербезопасности

Источник: www.silentpush.com

Недавние наблюдения аналитиков Silent Push-угроз выявили тревожные тенденции в области кибербезопасности. Увеличение использования инструмента удаленного мониторинга и управления (RMM) ScreenConnect в кибератаках привлекло внимание специалистов. Хакеры внедряют легальное программное обеспечение для получения несанкционированного доступа к системам жертв, что ставит под угрозу безопасность данных.

Злоупотребление ScreenConnect и его последствия

Аналитики отслеживают злоупотребления эксплойтом ScreenConnect, связанным с уязвимостью CVE-2024-1709. Главной причиной расследования стал обнаруженный подозрительный домен filessauploaderchecker.com, который, по мнению экспертов, используется для распространения измененных версий ScreenConnect.

Тактики хакеров: социальная инженерия и маскировка

Зломышленники прибегают к тактике социальной инженерии для введения пользователей в заблуждение. Примером может служить имя файла, обнаруженное в вышеупомянутом домене:

  • Recently_S_S_A_eStatementsForum_Viewr66985110477892_Pdf.Client.exe

Это имя маскирует вредоносные намерения, используя термины, связанные с документами и финансовой отчетностью, что отвлекает внимание от истинной природы файла.

Утечка данных через взломанные версии ScreenConnect

Как только ничего не подозревающий пользователь устанавливает данную версию ScreenConnect, злоумышленники получают незамедлительный доступ к файлам жертвы. Это серьезно угрожает безопасности личных и корпоративных данных.

Новые подходы к обнаружению угроз

Чтобы противодействовать этим угрозам, аналитики Silent Push разработали уникальный отпечаток пальца. Этот отпечаток позволяет идентифицировать широкий спектр вредоносной инфраструктуры, использующей ScreenConnect, и включен в их ленту индикаторов будущих атак (IOFA), доступную корпоративным клиентам компании.

Проблемы с обнаружением атак

Проблема обнаружения кибератак осложняется работой пуленепробиваемых хостинг-провайдеров, которые предоставляют киберпреступникам возможность беспрепятственно функционировать. Использование таких хостингов позволяет злоумышленникам создавать фишинговые сайты и распространять вредоносное ПО.

Многогранные методы хакеров

Аналитики обнаружили различные пуленепробиваемые хосты (BPHs), способствующие возникновению угроз. Методы, используемые злоумышленниками для поддержания работоспособности взломанных систем, могут включать:

  • Использование служб Windows
  • Применение планировщика задач
  • Развертывание вредоносного ПО
  • Неправильные настройки
  • Взлом целевого домена для выполнения скрытых действий

Такой многообразный подход усложняет задачу специалистам по безопасности в области обнаружения и смягчения последствий кибератак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: