Преступники используют этот лучший инструмент удаленного доступа для захвата сетей вашей компании.
19 апреля 2023 г.Еще одна законная корпоративная программная платформа используется различными киберпреступниками для развертывания вредоносных программ и программ-вымогателей для ничего не подозревающих жертвы. Исследователи кибербезопасности из отчета DFIR наблюдали, как несколько злоумышленников используют Action1 RMM, в остальном безопасный удаленный рабочий стол. решение для мониторинга и управления.
Как и любой другой инструмент удаленного управления, Action1 используется поставщиками управляемых услуг (MSP) и другими ИТ-командами для управления конечные точки в сети из удаленного места. Они могут использовать его для обработки исправлений программного обеспечения, установки программного обеспечения, устранения неполадок и т.п.
Отчет BleepingComputer намекает на то, что преступники нацелились именно на это программное обеспечение из-за обилия функций, которые оно предлагает в бесплатной версии. А именно, на бесплатном плане можно обслуживать до 100 конечных точек — единственное ограничение для бесплатной версии, которое может сделать ее интересным инструментом для преступников.
Conti поднимает свою уродливую голову
Было замечено, что несколько неизвестных команд использовали Action1 в своих кампаниях, но особенно выделяется одна — Monti. Эта группа была впервые обнаружена прошлым летом исследователями кибербезопасности из группы реагирования на инциденты BlackBerry, а позже выяснилось, что Монти имеет много общих черт с печально известным синдикатом Conti.
Атаки Conti обычно проводились через AnyDesk или Atera, а не через Action1. Злоумышленники также наблюдались с помощью ManageEngine Desktop Central от Zoho.
В любом случае злоумышленники использовали бы инструменты удаленного мониторинга и управления для установки всевозможных malware на конечных точках жертвы, а в некоторых случаях даже программы-вымогатели.
> Осторожно - эта вредоносная программа для Android была установлена миллионами раз уже Иногда злоумышленники отправляли электронное письмо, выдавая себя за крупный бренд, и требовали, чтобы жертва срочно связалась, чтобы остановить крупную транзакцию или получить крупный возврат средств. Связавшись с жертвой, они требовали установить программное обеспечение RMM, а затем использовать его для компрометации целевых систем. Компания знает, что ее программное обеспечение используется в гнусных целях, и пытается помочь , хотя на самом деле он мало что может сделать: «В прошлом году мы развернули систему фильтрации субъектов угроз, которая сканирует действия пользователей на предмет подозрительных моделей поведения, автоматически блокирует потенциально вредоносные учетные записи и предупреждает специальную группу безопасности Action1 о расследовании проблемы». Майк Уолтерс, вице-президент по исследованию уязвимостей и угроз и соучредитель корпорации Action1, сообщил BleepingComputer. Через: BleepingComputer
> Роутеры Wi-Fi подвергаются атаке новой опасной вредоносной программы для Android с дополнительными взломами DNS
> Вот лучшие инструменты брандмауэра на сегодняшний день
Оригинал