Laut Forschern von Symantec nutzt eine großangelegte Phishing-Kampagne gefälschte Einladungen zu saisonalen Feiern, um Benutzer zur Installation von Remote-Management- und Monitoring-Tools (RMM) zu verleiten.
„Ein sehr aktiver Bedrohungsakteur, der darauf spezialisiert ist, die Fernverwaltungssoftware ScreenConnect (RMM) bei seinen Angriffen einzusetzen, hat seine Taktik geändert und infiziert seine Opfer nun mit mehreren RMM-Tools, darunter LogMeIn Resolve und Naverisk“, so Symantec.
„In vielen Fällen installieren die Angreifer zusätzliche RMM-Tools auf infizierten Computern erst lange nach der ersten Kompromittierung. Die Motivation hinter dieser neuen Taktik bleibt unklar, obwohl es den Anschein hat, dass die Angreifer versuchen, ihre Verweildauer in den Netzwerken zu verlängern, um den Ertrag aus erfolgreichen Angriffen zu maximieren.“
Die Angreifer haben vor kurzem damit begonnen, Köder zum Thema „Party“ zu verwenden, um Nutzer wahrscheinlich gezielt während der Feiertage anzusprechen.
„Ihre Angriffe folgen einem konsistenten Muster und beginnen mit Phishing-E-Mails, die eine Vielzahl von Lockvogel-Taktiken einsetzen“, schreiben die Forscher. „Jüngste E-Mails gaben sich als Einladungen zu Weihnachtsfeiern aus, z. B. ‚Party-Einladung‘ oder ‚Dezember-Weihnachtsfeier‘. Andere E-Mail-Köder tarnten sich als Rechnungen, Steuerkorrespondenz, Mahnungen, Zoom-Meeting-Einladungen oder zu unterzeichnende Dokumente.“
Bemerkenswert ist, dass die Angreifer die auf den infizierten Systemen installierten Fernzugriffstools rotieren lassen, möglicherweise um die Entdeckung zu umgehen und die Persistenz aufrechtzuerhalten.
„In jüngster Zeit, seit Oktober, scheinen die Angreifer hauptsächlich LogMeIn Resolve (ehemals GoTo Resolve) und ein weiteres RMM-Paket, Naverisk, zusammen mit ScreenConnect zu verwenden. Interessanterweise werden die RMM-Tools in der Regel nicht gleichzeitig installiert. Stattdessen wird eines verwendet, um ein anderes zu installieren, und oft kann ein gewisser Zeitraum zwischen den Installationen vergehen.“
Es ist nicht klar, was das Ziel dieser Angriffe ist, aber Symantec vermutet, dass es sich bei den Hackern um „Initial Access Broker“ handelt, die den Zugang an andere Kriminelle, wie z. B. Ransomware-Banden, verkaufen.
KnowBe4 befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Über 70.000 Unternehmen weltweit vertrauen auf die KnowBe4 HRM+ Plattform, um ihre Sicherheitskultur zu stärken und das menschliche Risiko zu verringern.
Hier finden Sie die Befunde von Symantec zur Kampagne:https://www.security.com/threat-intelligence/rmm-logmein-attacks
Stoppen Sie fortgeschrittene Phishing-Angriffe mit KnowBe4 Defend
KnowBe4 Defend verfolgt einen neuen Ansatz für die E-Mail-Sicherheit, indem es die Lücken in M365 und Secure Email Gateways (SEGs) schließt. Defend hilft Ihnen, schneller auf Bedrohungen zu reagieren, die Sicherheit dynamisch zu verbessern und fortgeschrittene Phishing-Bedrohungen zu stoppen. Es reduziert den Verwaltungsaufwand, verbessert die Erkennung und motiviert die Benutzer, eine stärkere Sicherheitskultur aufzubauen.
Mit KnowBe4 Defend können Sie:
- das Risiko von Datenverletzungen reduzieren, indem Sie Bedrohungen erkennen, die von M365 und SEGs übersehen wurden
- Administrative Ressourcen freisetzen, indem Sie E-Mail-Sicherheitsaufgaben automatisieren
- Benutzer mit farbcodierten Bannern aufklären, um Risiken in lehrreiche Momente zu verwandeln
- die Sicherheitserkennung kontinuierlich bewerten und dynamisch anpassen, um den Verwaltungsaufwand zu reduzieren
- Live-Bedrohungsinformationen nutzen, um Schulungen und Simulationen zu automatisieren
PS: Sie möchten nicht auf Weiterleitungsschaltflächen klicken? Kopieren Sie diesen Link und fügen Sie ihn in Ihren Browser ein: