هشدار سیسا در مورد هک آژانس های فدرال با استفاده از نرم افزار های RMM

به گزارش کارگروه حملات سایبری سایبربان؛ آژانس امنیت سایبری و امنیت زیر ساخت آمریکا (سیسا) ، آژانس امنیت ملی و مراکز تحلیل و اشتراک گذاری اطلاعات چند ایالتی طی بخشنامه ای مشترک هشدار دادند که مهاجمین به صورت فزاینده ای در حال استفاده از نرم افزار قانونی مدیریت و نظارت راه دور (RMM) برای رسیدن به اهداف مخرب خود هستند.

سیسا همچنین با استفاده از سیستم شناسایی حمله EINSTEIN فعالیت های مخربی را در شبکه های چندین آژانس شعبه اجرائی غیرنظامی فدرال (FCEB) شناسایی کرده است.

طیق گزارش سایلنت پوش، این فعالیت به یک کمپین فیشینگ گسترده ارتباط داده شده و پس از شناسایی اولیه در شبکه یک آژانس FCEB در اواسط سپتامبر 2022، در بسیاری از شبکه های FCEB دیگر نیز شناسایی شده است. 

عاملین این کمپین دست کم از اواسط ژوئن 2022 شروع به ارسال ایمیل فیشینگ مرتبط با سیستم های هِلپ دِسک میکنند. (Help desk  مجموعه ابزار ها و روش های می باشد که به کمک آنها فرآیند پاسخ دهی به مشتریان و افرادی که درخواستی دارند و یا نیاز به کمک دارند را تسریع می بخشد. درInformation Technology Infrastructure Library  یا (ITIL) شرکت هایی که مایل به اخذ ISO/IEC 20000 و یا پیاده سازی IT Service Managementهستند ، Help desk می تواند یک سرویس دهی متمرکز را فراهم کرده و زمینه های پیوستن به یک Service Desk بزرگتر فراهم نماید.)

سازمان های فدرال نام برده مدعی هستند که دست کم از ژوئن 2022 مجرمین سایبری ایمیل های فیشینگی را با زمینه هلپ دسک به نشانی های ایمیل شخصی کارکنان آژانس های FCEB و دولت ارسال می کنند.  

این ایمیل ها حاوی یک لینک منتهی به دامین مخرب مرحله اول هستند یا در صورت دیگر، مجرمین سایبری دریافت کنندگان ایمیل را ترغیب به تماس با خود می کنند تا بتوانند آن ها را فریب دهند. 

حملات فیشینگ Callback از سه ماهه اول سال 2021 تا به الان، رشد 625 درصدی را تجربه کرده اند. گروه های باج افزاری از این روش نیز استفاده می کنند. 

کلیک کردن دریافت کنندگان ایمیل بر روی لینک های تعبیه شده، به باز شدن مرورگر وب پیش فرض و دانلود خودکار بدافزار ختم می شود. 

مهاجمین با وارد شدن دستگاه های هدف و با استفاده از دسترسی خود، به حساب بانکی افراد رخنه و اقدامات کلاهبردارانه خود را آغاز می کنند.