Рост атак с использованием ScreenConnect: новые угрозы кибербезопасности

Источник: www.silentpush.com
Недавние наблюдения аналитиков Silent Push-угроз выявили тревожные тенденции в области кибербезопасности. Увеличение использования инструмента удаленного мониторинга и управления (RMM) ScreenConnect в кибератаках привлекло внимание специалистов. Хакеры внедряют легальное программное обеспечение для получения несанкционированного доступа к системам жертв, что ставит под угрозу безопасность данных.
Злоупотребление ScreenConnect и его последствия
Аналитики отслеживают злоупотребления эксплойтом ScreenConnect, связанным с уязвимостью CVE-2024-1709. Главной причиной расследования стал обнаруженный подозрительный домен filessauploaderchecker.com, который, по мнению экспертов, используется для распространения измененных версий ScreenConnect.
Тактики хакеров: социальная инженерия и маскировка
Зломышленники прибегают к тактике социальной инженерии для введения пользователей в заблуждение. Примером может служить имя файла, обнаруженное в вышеупомянутом домене:
- Recently_S_S_A_eStatementsForum_Viewr66985110477892_Pdf.Client.exe
Это имя маскирует вредоносные намерения, используя термины, связанные с документами и финансовой отчетностью, что отвлекает внимание от истинной природы файла.
Утечка данных через взломанные версии ScreenConnect
Как только ничего не подозревающий пользователь устанавливает данную версию ScreenConnect, злоумышленники получают незамедлительный доступ к файлам жертвы. Это серьезно угрожает безопасности личных и корпоративных данных.
Новые подходы к обнаружению угроз
Чтобы противодействовать этим угрозам, аналитики Silent Push разработали уникальный отпечаток пальца. Этот отпечаток позволяет идентифицировать широкий спектр вредоносной инфраструктуры, использующей ScreenConnect, и включен в их ленту индикаторов будущих атак (IOFA), доступную корпоративным клиентам компании.
Проблемы с обнаружением атак
Проблема обнаружения кибератак осложняется работой пуленепробиваемых хостинг-провайдеров, которые предоставляют киберпреступникам возможность беспрепятственно функционировать. Использование таких хостингов позволяет злоумышленникам создавать фишинговые сайты и распространять вредоносное ПО.
Многогранные методы хакеров
Аналитики обнаружили различные пуленепробиваемые хосты (BPHs), способствующие возникновению угроз. Методы, используемые злоумышленниками для поддержания работоспособности взломанных систем, могут включать:
- Использование служб Windows
- Применение планировщика задач
- Развертывание вредоносного ПО
- Неправильные настройки
- Взлом целевого домена для выполнения скрытых действий
Такой многообразный подход усложняет задачу специалистам по безопасности в области обнаружения и смягчения последствий кибератак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



