вычисления techradar.com Новости

Преступники используют этот лучший инструмент удаленного доступа для захвата сетей вашей компании.

19 апреля 2023 г.

Еще одна законная корпоративная программная платформа используется различными киберпреступниками для развертывания вредоносных программ и программ-вымогателей для ничего не подозревающих жертвы. Исследователи кибербезопасности из отчета DFIR наблюдали, как несколько злоумышленников используют Action1 RMM, в остальном безопасный удаленный рабочий стол. решение для мониторинга и управления.

Как и любой другой инструмент удаленного управления, Action1 используется поставщиками управляемых услуг (MSP) и другими ИТ-командами для управления конечные точки в сети из удаленного места. Они могут использовать его для обработки исправлений программного обеспечения, установки программного обеспечения, устранения неполадок и т.п.

Отчет BleepingComputer намекает на то, что преступники нацелились именно на это программное обеспечение из-за обилия функций, которые оно предлагает в бесплатной версии. А именно, на бесплатном плане можно обслуживать до 100 конечных точек — единственное ограничение для бесплатной версии, которое может сделать ее интересным инструментом для преступников.

Conti поднимает свою уродливую голову

Было замечено, что несколько неизвестных команд использовали Action1 в своих кампаниях, но особенно выделяется одна — Monti. Эта группа была впервые обнаружена прошлым летом исследователями кибербезопасности из группы реагирования на инциденты BlackBerry, а позже выяснилось, что Монти имеет много общих черт с печально известным синдикатом Conti.

Атаки Conti обычно проводились через AnyDesk или Atera, а не через Action1. Злоумышленники также наблюдались с помощью ManageEngine Desktop Central от Zoho.

В любом случае злоумышленники использовали бы инструменты удаленного мониторинга и управления для установки всевозможных malware на конечных точках жертвы, а в некоторых случаях даже программы-вымогатели.