Breit aufgestellte RMM-Angriffskampagne aufgedeckt.
Vor kurzem haben Forscher der Threat Fusion Cell (TFC) und Mitarbeiter des Security Operations Centers (SOC) von BlueVoyant eine neue RMM-Angriffskampagne aufgedeckt.
Zusammenfassung (TL; DR):
- In aller Regel beginnt der RMM-Angriff mit einer E-Mail, in der das Opfer dazu aufgefordert wird, auf einen Link zu klicken, der es dann zu einer Fake-Webseite führt.
- Beim Besuch der Fake-Website wird ein Java-Scipt getriggert. Zunächst werden die System- und Metadaten des Opfers (IP-Adresse, Endgerät, Browser, Bildschirmauflösung, etc.) eingesammelt und an einen Telegram-Bot gesandt.
Die Cyberkriminellen gehen geschickt vor. Ihre Opfer lenken sie auf Fake-Webseiten, auf denen ein bösartiges Java-Script dafür sorgt, dass ein reguläres IT-Fernverwaltungstool heruntergeladen, installiert und gestartet wird – gänzlich unbemerkt von der IT-Sicherheit ihrer Opfer. Nachforschungen von BlueVoyant haben ergeben, dass die Kampagne Ende 2024 gestartet wurde – und nach wie vor läuft. Auch in Deutschland.
In aller Regel beginnt der RMM-Angriff mit einer E-Mail, in der das Opfer dazu aufgefordert wird, auf einen Link zu klicken, der es dann zu einer Fake-Webseite führt. Mal geben sich die Angreifer als Mitarbeiter einer Regierungsbehörde, mal als Angestellte eines Unternehmens oder einer Organisation aus. Die Emails haben Rechnungen, Mahnungen und Verträge, Voicemail-Benachrichtigungen und Veranstaltungseinladungen zum Gegenstand. Allen gemein ist: via Social Engineering wird Dringlichkeit erzeugt, um die Opfer zum Anklicken des Links zu bewegen.
Die Fake-Websites, auf die die Opfer dann nach dem Anklicken des Links gelangen, sind nicht etwa einfache Phishing-Websites, auf denen die Angreifer versuchen, ihre Opfer zur Eingabe ihrer Credentials und weiterer Informationen zu bewegen. Eher ähnelt der Angriff einem fortgeschrittenen Tech-Support-Scam – allerdings ohne ‚Tech Support‘.
Beim Besuch der Fake-Website wird ein Java-Scipt getriggert. Zunächst werden die System- und Metadaten des Opfers (IP-Adresse, Endgerät, Browser, Bildschirmauflösung, etc.) eingesammelt und an einen Telegram-Bot gesandt. Erkennt das Java-Scipt einen stationären Zugriff über eine Windows- oder MacOS-Plattform, startet es unbemerkt den Download einer Datei, bei der es sich um einen getarnten RMM-Agent-Installer handelte. Ist der Download abgeschlossen, installiert er sich automatisch und erstellt dann eine Konfigurationsdatenbank auf der alle wichtigen Einstellungen, wie der Standort des Remote-Servers, die Geräte-ID, das Geräte-Schlüsselpaar und die Sockets-URL, gespeichert werden. Dann verbindet sich der RMM-Agent mit der Clouddienst-Infrastruktur des RMM-Anbieters. Über diese Verbindung kann der Angreifer dann, ohne entdeckt zu werden, böswillige Aktivitäten – getarnt als ordinäre Verwaltungsmuster – in den ansonsten normalen Netzwerkverkehr einfließen lassen. Die Bandbreite der hierbei von den Angreifern zum Einsatz gebrachten RMM-Tools ist groß. PDQ und Atera gehören ebenso dazu, wie ScreenConnect und SimpleHelp.
