La Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il Multi-State Information Sharing and Analysis Center (MS-ISAC) (di seguito denominate “organizzazioni autrici”) pubblicano questo Cybersecurity Advisory (CSA) congiunto per mettere in guardia i difensori delle reti dall’uso malevolo di software legittimi di monitoraggio e gestione remota (RMM). Nell’ottobre del 2022, il CISA ha identificato una campagna informatica diffusa che prevedeva l’uso dannoso di software RMM legittimi. In particolare, i criminali informatici hanno inviato e-mail di phishing che portavano al download di software RMM legittimi – ScreenConnect (ora ConnectWise Control) e AnyDesk – che gli attori hanno utilizzato in una truffa di rimborso per rubare denaro dai conti bancari delle vittime.
Truffa finto Anydesk: Odisseus invita all’attenzione sulle pubblicità di Google Adwords
Oltre 1.300 falsi siti AnyDesk spingono il malware Vidar per rubare informazioni
Sebbene questa campagna appaia finanziariamente motivata, le organizzazioni autrici ritengono che possa portare a ulteriori tipi di attività dannose. Ad esempio, gli attori potrebbero vendere l’accesso agli account delle vittime ad altri criminali informatici o ad attori di minacce persistenti avanzate (APT). Questa campagna mette in evidenza la minaccia di attività informatiche dannose associate al software RMM legittimo: dopo aver ottenuto l’accesso alla rete di destinazione tramite phishing o altre tecniche, è noto che i criminali informatici malintenzionati – dai criminali informatici alle APT sponsorizzate dagli Stati nazionali – utilizzano il software RMM legittimo come backdoor per la persistenza e/o il comando e il controllo (C2).
L’utilizzo di eseguibili portatili del software RMM offre agli attori un modo per stabilire l’accesso locale dell’utente senza la necessità di privilegi amministrativi e di installazione completa del software, aggirando di fatto i comuni controlli sul software e le ipotesi di gestione del rischio.
Le organizzazioni autrici incoraggiano vivamente i difensori della rete a esaminare le sezioni Indicatori di compromissione (IOC) e Mitigazioni di questa CSA e ad applicare le raccomandazioni per proteggersi dall’uso malevolo di software RMM legittimi. Nell’ottobre 2022, il CISA si è avvalso della segnalazione di terze parti fidate per condurre un’analisi retrospettiva di EINSTEIN, un sistema di rilevamento delle intrusioni (IDS) gestito e monitorato dal CISA, e ha identificato sospette attività dannose su due reti del FCEB:
A metà giugno 2022, alcuni malintenzionati hanno inviato un’e-mail di phishing contenente un numero di telefono all’indirizzo e-mail governativo di un dipendente della FCEB. Il dipendente ha chiamato il numero, che lo ha portato a visitare il dominio dannoso myhelpcare[.]online.
A metà settembre 2022, è stato registrato un traffico bidirezionale tra una rete FCEB e myhelpcare[.]cc.
Sulla base di ulteriori analisi EINSTEIN e del supporto alla risposta agli incidenti, la CISA ha identificato attività correlate su molte altre reti FCEB. Le organizzazioni autrici ritengono che questa attività faccia parte di una campagna di phishing diffusa e finanziariamente motivata e che sia correlata all’attività di typosquatting dannoso segnalata da Silent Push nel post Silent Push scopre una vasta operazione di trojan con domini Amazon, Microsoft, Geek Squad, McAfee, Norton e Paypal.
Attività informatica dannosa
Secondo le organizzazioni autrici, almeno dal giugno 2022, i criminali informatici hanno inviato e-mail di phishing a tema help desk agli indirizzi e-mail personali e governativi del personale federale della FCEB. Le e-mail contengono un link a un dominio dannoso di “primo livello” oppure invitano i destinatari a chiamare i criminali informatici, che poi cercano di convincere i destinatari a visitare il dominio dannoso di primo livello. La figura 1 mostra un esempio di e-mail di phishing ottenuto da una rete FCEB.
Il destinatario che visita il dominio dannoso di primo livello attiva il download di un eseguibile. L’eseguibile si collega quindi a un dominio dannoso di “seconda fase”, da cui scarica altro software RMM.
La CISA ha notato che gli attori non hanno installato i client RMM scaricati sull’host compromesso. Al contrario, gli attori hanno scaricato AnyDesk e ScreenConnect come eseguibili portatili autonomi, configurati per connettersi al server RMM dell’attore.
La CISA ha osservato che diversi nomi di dominio di primo livello seguono schemi di denominazione utilizzati per l’aiuto/supporto IT a tema social-engineering, ad esempio, hservice[.]live, gscare[.]live, nhelpcare[.]info, deskcareme[.]live, nhelpcare[.]cc). Secondo Silent Push, alcuni di questi domini dannosi impersonano marchi noti come Norton, GeekSupport, Geek Squad, Amazon, Microsoft, McAfee e PayPal.[1] Il CISA ha inoltre osservato che il dominio dannoso di primo livello collegato all’e-mail di phishing iniziale reindirizza periodicamente ad altri siti per ulteriori reindirizzamenti e download di software RMM.
