Рост атак с PDF и RMM: новая угроза для бизнеса Европы
Источник: labs.withsecure.com
Компания WithSecure зафиксировала заметный рост сложных атак, в которых злоумышленники применяют инструменты удаленного мониторинга и управления (remote monitoring and management, RMM) посредством внедрения ссылок прямо в PDF-документы. Основные цели преступников — организации во Франции и Люксембурге, однако атаки постепенно затрагивают и другие европейские страны.
Особенности и методы атак
Распространение вредоносных материалов происходит через электронные письма, разработанные с использованием данных из социальных сетей, что повышает их уровень доверия у потенциальных жертв. В письмах прикладываются PDF-файлы, внешне кажущиеся безобидными, зачастую замаскированными под счета-фактуры, контракты или иные документы, релевантные отрасли целевой компании.
- PDF-файлы содержат единственную встроенную ссылку, ведущую на загрузку установщика RMM-инструмента.
- Подлинность документов достигается за счёт детальной доработки — например, изображения объектов недвижимости затемняются для создания эффекта официальности.
- Для повышения доверия используются методы социальной инженерии, включая подделку электронных адресов и доменов-двойников.
- В некоторых случаях злоумышленники маскируются под ключевых сотрудников компаний-жертв.
Технологии и инструменты злоумышленников
Используемые в атаках RMM-решения отличаются легкостью в установке и эксплуатации. Among the most popular tools are:
- FleetDeck
- Atera
- Bluetrait
Эти платформы практически не требуют настройки после установки, что облегчает злоумышленникам получение быстрого удалённого доступа. Интересным исключением является использование ScreenConnect через URL-перенаправления в PDF, что позволяет скрыть домен RMM от систем обнаружения.
Обход систем защиты и новые каналы распространения
Хакеры применяют умные тактики для обхода антивирусных и почтовых фильтров. Ссылки на загрузку RMM часто размещаются на уникальных URL, предоставляемых легальными поставщиками, что делает их почти неотличимыми от безопасного трафика.
Недавно был отмечен новый вектор атаки — использование платформы Zendesk. Злоумышленники отправляют заявки с вредоносными PDF-файлами, минуя средства защиты электронной почты. Несмотря на регулярное сканирование Zendesk на вирусы, установщики RMM часто не воспринимаются как вредоносные, что позволяет избежать обнаружения.
Целевые отрасли и географический охват
Хотя основное внимание уделяется Франции и Люксембургу, атаки охватывают и другие европейские регионы. Злоумышленники ориентируются на сектора с высокой добавленной стоимостью:
- энергетика
- банковское дело
- строительство
- государственное управление
В этих отраслях успешные киберинциденты могут приносить злоумышленникам значительные финансовые дивиденды.
Исторический контекст и тенденции
Хотя интенсивность подобных атак заметно возросла с ноября 2024 года, архивные данные свидетельствуют о наличии более ранних случаев — с июля 2024 года. Этот тренд отражает трансформацию тактик киберпреступников, которые всё чаще используют легальное ПО для маскировки своих действий.
С помощью RMM-инструментов злоумышленники достигают:
- обхода традиционных систем защиты почты и антивирусов;
- удалённого получения доступа в сети жертв;
- отключения функций безопасности и повышения привилегий;
- развертывания дополнительного вредоносного ПО.
Такой подход похож на методы, применяемые группами программ-вымогателей, например, Black Basta и Conti.
Рекомендации для организаций
В свете выявленных угроз компаниям следует повысить уровень бдительности и пересмотреть свои стратегии кибербезопасности. Необходимо усилить контроль за использованием легального программного обеспечения, особенно в части RMM, а также адаптировать средства защиты для противодействия всё более изощрённым социально ориентированным атакам.
«Этот всплеск злоупотреблений законными инструментами подчёркивает изменение ландшафта киберугроз и необходимость комплексного подхода к безопасности», — отмечают эксперты WithSecure.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
