Sofisticirana sajber kampanja koja koristi legitimne alate za daljinsko praćenje i upravljanje (RMM) pojavila se kao značajna prijetnja evropskim organizacijama, posebno onima u Francuskoj i Luksemburgu.
Od novembra 2024. godine, akteri prijetnji koriste pažljivo izrađene PDF dokumente koji sadrže ugrađene veze do instalacijskih programa RMM-a, efektivno zaobilazeći tradicionalne mjere sigurnosti e-pošte i sisteme za detekciju zlonamjernog softvera.
Ovaj vektor napada predstavlja evoluciju u taktikama socijalnog inženjeringa , iskorištavajući inherentno povjerenje koje se polaže u legitimne administrativne alate.
Kampanja je prvenstveno usmjerena na sektore visoke vrijednosti, uključujući energetiku, vladu, bankarstvo i građevinsku industriju širom Evrope.
Geografski fokus na Luksemburg je posebno značajan, jer visoki BDP po glavi stanovnika čini ovu zemlju atraktivnom metom za finansijski motivisane sajber kriminalce.
.webp)
Umjesto korištenja metoda distribucije širokog obima, ovi hakeri demonstriraju precizno ciljanje putem PDF sadržaja specifičnog za industriju i upotrebe lokalizovanog jezika, što ukazuje na intimno poznavanje regionalnih poslovnih praksi.
Metodologija napada se fokusira na pažljivo izrađene e-poruke socijalnog inženjeringa koje ili lažiraju legitimne poslovne adrese ili koriste slične domene.
.webp)
Ovi e-mailovi često se lažno predstavljaju kao stariji zaposlenici unutar ciljanih organizacija, što dramatično povećava njihov kredibilitet i stopu uspjeha.
Analitičari WithSecure-a su identifikovali ovu kampanju putem analize obrazaca PDF metapodataka i mehanizama isporuke, primjećujući dosljednu upotrebu ugrađenih direktnih linkova za preuzimanje koji upućuju na legitimne platforme dobavljača RMM-a.
Istraživači WithSecure-a primijetili su značajnu taktičku evoluciju u mehanizmu isporuke, posmatrajući zloupotrebu pouzdanih platformi poput Zendeska za distribuciju malicioznih PDF-ova.
Ova promjena predstavlja proračunati napor da se zaobiđu sigurnosne kontrole e-pošte korištenjem platformi koje obično nisu povezane s phishing kampanjama.
Mehanizam isporuke PDF-a
Tehnička sofisticiranost ove kampanje leži u njenoj jednostavnosti i zloupotrebi legitimne infrastrukture.
Svaki PDF sadrži jednu ugrađenu direktnu vezu za preuzimanje koja se povezuje s autentičnim URL-ovima dobavljača RMM-a generiranim kada napadači registruju račune na platformama uključujući FleetDeck, Atera, Bluetrait i ScreenConnect.
Ovi URL-ovi sadrže jedinstvene pristupne ključeve koji direktno povezuju instalatere s računima koje kontroliraju napadači.
Example FleetDeck URL structure:
hxxps://agent[.]fleetdeck[.]io/[UNIQUE_IDENTIFIER]?winAnaliza metapodataka otkriva sedam različitih autorskih imena, uključujući „Dennis Block“ i „Guillaume Vaugeois“, kreiranih korištenjem uobičajenih alata poput Microsoft Worda , Canve i ILovePDF-a.
Ova raznolikost vjerovatno predstavlja namjernu strategiju zamagljivanja kako bi se izbjegli sistemi detekcije koji se oslanjaju na konzistentne obrasce metapodataka za atribuciju prijetnji.
Uspjeh kampanje proizlazi iz iskorištavanja legitimne prirode RMM alata, koji ne zahtijevaju dodatnu konfiguraciju nakon instalacije i odmah omogućavaju udaljeni pristup bez koraka autentifikacije korisnika.
Izvor: CyberSecurityNews
