Phishing kampanja koristi SimpleHelp i ScreenConnect za trajni udaljeni pristup
Istraživači Securonix-a prate aktivnu phishing kampanju VENOMOUS#HELPER, koja od najmanje aprila 2025. koristi legitimne Remote Monitoring and Management alate SimpleHelp i ScreenConnect za uspostavljanje trajnog pristupa kompromitovanim računarima. Kampanja je pogodila više od 80 organizacija, uglavnom u SAD, a počinje phishing porukom koja se predstavlja kao obaveštenje američke Social Security Administration. Žrtva se navodi da preuzme lažni SSA dokument sa kompromitovanog sajta, ali zapravo pokreće Windows izvršni fajl koji instalira SimpleHelp kao servis, obezbeđuje persistence, proverava prisustvo sigurnosnih proizvoda i omogućava interaktivan udaljeni pristup. Nakon toga se instalira i ConnectWise ScreenConnect kao rezervni kanal ako SimpleHelp bude otkriven ili blokiran.
RMM alati su korisni i legitimni, ali upravo zato predstavljaju dobar zaklon za napadače. Kada ih korisnik sam instalira misleći da otvara dokument, zaštitni sistemi mogu videti potpisan i poznat softver, dok napadač dobija ekran, tastaturu, prenos fajlova i mogućnost povratka u sistem.
- Pratiti instalaciju i pokretanje RMM alata kao što su SimpleHelp, ScreenConnect i slični alati na endpointima
- Uvesti allowlist za odobrene remote access alate i blokirati neodobrene instalacije
- Obučiti korisnike da ne pokreću izvršne fajlove koji se predstavljaju kao izjave, obrasci ili dokumenti državnih službi
- Pregledati Windows servise, Safe Mode persistence, neobične watchdog procese i novoinstalirane RMM klijente
- Ograničiti privilegije korisnika i pratiti pokušaje dobijanja SYSTEM prava kroz legitimne komponente remote access softvera