Eine weitere legitime Unternehmenssoftwareplattform wird von verschiedenen Cyberkriminellen missbraucht, um Malware und Ransomware für ahnungslose Opfer einzusetzen. Cybersicherheitsforscher von The DFIR Report haben mehrere Bedrohungsakteure beobachtet, die Action1 RMM verwenden, eine ansonsten harmlose Remote-Desktop-Überwachungs- und Verwaltungslösung.
Wie jedes andere Remote-Verwaltungstool wird Action1 von Managed Service Providern (MSPs) und anderen IT-Teams zur Verwaltung von Endpunkten verwendet (öffnet in neuem Tab) in einem Netzwerk von einem entfernten Standort aus. Sie können es verwenden, um Software-Patches, Softwareinstallationen, Fehlerbehebung und ähnliches zu handhaben.
A Piepender Computer Bericht weist darauf hin, dass die Kriminellen diese Software aufgrund der Fülle an Funktionen, die sie in ihrer kostenlosen Version bietet, besonders ins Visier nehmen. Im kostenlosen Plan können nämlich bis zu 100 Endpunkte bedient werden – die einzige Einschränkung für die kostenlose Version, die sie zu einem interessanten Werkzeug für Kriminelle machen könnte.
Conti erhebt sein hässliches Haupt
Mehrere nicht identifizierte Teams wurden mit Action1 in ihren Kampagnen entdeckt, aber eines sticht besonders hervor – Monti. Diese Gruppe wurde erstmals im vergangenen Sommer von Cybersicherheitsforschern des BlackBerry Incident Response Teams entdeckt, und später wurde aufgedeckt, dass Monti viele Eigenschaften mit dem berüchtigten Conti-Syndikat teilt.
Die Angriffe von Conti wurden normalerweise über AnyDesk oder Atera und nicht über Action1 ausgeführt. Die Angreifer wurden auch mit ManageEngine Desktop Central von Zoho beobachtet.
In jedem Szenario würden die Angreifer Remoteüberwachungs- und Verwaltungstools verwenden, um alle Arten von Malware auf den Endpunkten der Opfer zu installieren, und in einigen Fällen sogar Ransomware.
Manchmal schickten die Angreifer eine E-Mail, in der sie sich als eine große Marke ausgaben, und forderten das Opfer auf, sich dringend zu melden, um eine große Transaktion zu stoppen oder eine riesige Rückerstattung zu erhalten. Nachdem sie sich mit dem Opfer in Verbindung gesetzt hatten, verlangten sie, dass es RMM-Software installiert und diese dann verwendet, um die Zielsysteme zu kompromittieren.
Das Unternehmen ist sich bewusst, dass seine Software für schändliche Zwecke missbraucht wird, und versucht zu helfen, obwohl es nicht wirklich viel tun kann: „Letztes Jahr haben wir ein Filtersystem für Bedrohungsakteure eingeführt, das Benutzeraktivitäten auf verdächtige Verhaltensmuster scannt. automatisch potenziell bösartige Konten sperrt und das spezielle Sicherheitsteam von Action1 alarmiert, um das Problem zu untersuchen“, sagte Mike Walters, VP of Vulnerability and Threat Research und Mitbegründer der Action1 Corporation Piepender Computer.
Über: Piepender Computer (öffnet in neuem Tab)