Telah terungkap bahwa peretas dengan cerdik menggunakan dua sistem pemantauan dan manajemen jarak jauh (RMM) siap pakai untuk menembus beberapa jaringan agen Federal Civilian Executive Branch (FCEB) di AS musim panas lalu.
Pada 25 Januari, Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), dan Multi-State Information Sharing and Analysis Center (MS-ISAC) merilis sebuah laporan merinci serangan, memperingatkan komunitas cybersecurity tentang penggunaan perangkat lunak RMM komersial yang berbahaya, dan menawarkan mitigasi dan indikator kompromi yang harus diwaspadai.
Penyedia layanan TI menggunakan RMM untuk memantau dan mengelola jaringan dan titik akhir klien dari jarak jauh. Tetapi peretas dapat menggunakan perangkat lunak yang sama untuk melewati kebijakan kontrol perangkat lunak biasa dan persyaratan otorisasi pada komputer korban โ seperti yang diketahui oleh pemerintah AS.
Bagaimana Peretas Melanggar Pemerintah Dengan RMM
Oktober lalu, CISA melakukan analisis retrospektif terhadap Einstein โ sistem deteksi penyusupannya, disebarkan di seluruh lembaga FCEB. Para peneliti menemukan, mungkin, lebih dari yang mereka harapkan.
Pada pertengahan Juni tahun lalu, peretas mengirim email phishing ke alamat pemerintah pegawai FCEB. Email tersebut mendorong karyawan untuk memanggil nomor telepon. Menelepon nomor tersebut mendorong mereka untuk mengunjungi alamat Web berbahaya: "myhelpcare.online".
Mengunjungi domain tersebut memicu pengunduhan executable, yang kemudian terhubung ke domain kedua, di mana dua RMM โ AnyDesk dan ScreenConnect (sekarang ConnectWise Control) โ berperan. Domain kedua sebenarnya tidak menginstal klien AnyDesk dan ScreenConnect ke mesin target. Sebaliknya, itu mundur: mengunduh program sebagai executable portabel mandiri, dikonfigurasi untuk terhubung kembali ke server pelaku ancaman.
Mengapa ini penting? โKarena,โ organisasi penulis menjelaskan, โportable executable tidak memerlukan hak administrator, mereka dapat mengizinkan eksekusi perangkat lunak yang tidak disetujui bahkan jika kontrol manajemen risiko mungkin ada untuk mengaudit atau memblokir instalasi perangkat lunak yang sama di jaringan.โ
Setelah mengejek hak istimewa admin dan kontrol perangkat lunak, pelaku ancaman kemudian dapat menggunakan executable โuntuk menyerang mesin lain yang rentan di dalam intranet lokal atau membuat akses persisten jangka panjang sebagai layanan pengguna lokal.โ
Namun, ternyata kompromi bulan Juni hanyalah puncak gunung es. Tiga bulan kemudian, lalu lintas diamati antara jaringan FCEB yang berbeda dan domain serupa - "myhelpcare.cc" - dan analisis lebih lanjut, kenang penulis, "mengidentifikasi aktivitas terkait di banyak jaringan FCEB lainnya."
Meskipun menargetkan pegawai pemerintah, para penyerang tampaknya termotivasi secara finansial. Setelah terhubung ke mesin target, mereka membujuk korban untuk masuk ke rekening bank mereka, lalu โmenggunakan akses mereka melalui perangkat lunak RMM untuk mengubah ringkasan rekening bank penerima,โ tulis para penulis. โRingkasan rekening bank yang dimodifikasi secara keliru menunjukkan penerima secara keliru mengembalikan sejumlah uang berlebih. Para aktor kemudian menginstruksikan penerima untuk 'mengembalikan' kelebihan jumlah ini ke operator penipuan.โ
Mengapa Peretas Menyukai RMM
Peretas memiliki sejarah panjang dalam menggunakan perangkat lunak yang sah untuk tujuan yang tidak sah. Paling populer adalah alat tim merah โ seperti Cobalt Strike dan Metasploit โ yang digunakan para pembela dunia maya untuk menguji sistem mereka sendiri tetapi dapat diterapkan secara mulus dengan cara yang sama dalam konteks permusuhan.
Bahkan perangkat lunak yang tidak memiliki hubungan yang jelas dengan keamanan siber dapat digunakan kembali untuk kejahatan. Sebagai satu contoh saja, Kelompok peretasan Korea Utara telah diamati membajak layanan pemasaran email untuk mengirim umpan phishing melewati filter spam.
Dalam hal ini, RMM telah ada di mana-mana dalam beberapa tahun terakhir, memungkinkan penyerang yang menggunakannya dengan cara mudah untuk bersembunyi di depan mata. Namun, lebih dari segalanya, tingkat otonomi yang dibutuhkan RMM untuk menjalankan fungsi normalnya itulah yang dimanfaatkan oleh peretas.
โBanyak sistem RMM menggunakan alat yang dibangun ke dalam sistem operasi,โ Erich Kron, advokat kesadaran keamanan di KnowBe4, menjelaskan kepada Dark Reading. โIni, serta alat RMM yang dibuat khusus, biasanya memiliki tingkat akses sistem yang sangat tinggi, menjadikannya sangat berharga bagi penyerang.โ
โUntuk menambah masalah,โ catatan Kron, โAlat RMM sering dikecualikan dari pemantauan keamanan karena dapat memicu kesalahan positif dan tampak berbahaya dan tidak biasa saat melakukan pekerjaan sah mereka.โ
Ditambahkan bersama, "itu membuat aktivitas lebih sulit dikenali karena berbaur dengan operasi komputasi normal," tambahnya. Organisasi yang berhasil menemukan perbedaannya akan menemukan kesulitan lebih lanjut dalam mencegah penggunaan RMM yang berbahaya, sambil mempertahankan penggunaan RMM yang sah pada sistem yang sama.
Tidak heran, kalau begitu, itu lebih banyak hacker mengadopsi program-program ini ke dalam mereka alur serangan. Dalam 26 Januari melaporkan meliput temuan respons insiden mereka dari kuartal keempat tahun 2022, Cisco Talos membuat catatan khusus tentang Syncro, sebuah RMM yang mereka temui di hampir 30% dari semua interaksi.
Itu adalah "peningkatan yang signifikan dibandingkan dengan kuartal sebelumnya," jelas peneliti Talos. โSyncro adalah di antara banyak alat manajemen dan akses jarak jauh lainnya, termasuk AnyDesk dan SplashTop, yang dimanfaatkan musuh untuk membuat dan memelihara akses jarak jauh ke host yang disusupi.โ
Untuk menyimpulkan pemberitahuan mereka, NSA, CISA, dan MS-ISAC menyarankan langkah-langkah yang dapat diambil oleh pembela jaringan untuk memerangi serangan yang mengaktifkan RMM, termasuk:
- Kebersihan dan kesadaran yang baik seputar phishing,
- Mengidentifikasi perangkat lunak akses jarak jauh di jaringan Anda dan apakah itu hanya dimuat ke dalam memori,
- Menerapkan kontrol terhadap, dan mengaudit, RMM yang tidak sah berjalan sebagai executable portabel,
- Mengharuskan RMM hanya digunakan melalui jaringan pribadi virtual yang disetujui dan antarmuka desktop virtual, dan
- Memblokir koneksi pada port dan protokol RMM umum di perimeter jaringan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/federal-agencies-infested-cyberattackers-legit-remote-management-systems
- 2022
- 7
- a
- Tentang Kami
- mengakses
- Akun
- Akun
- di seluruh
- kegiatan
- kegiatan
- sebenarnya
- alamat
- Menambahkan
- admin
- Mengadopsi
- Keuntungan
- permusuhan
- pengacara
- Setelah
- terhadap
- lembaga
- badan
- Semua
- Membiarkan
- antara
- jumlah
- analisis
- dan
- dan infrastruktur
- muncul
- terapan
- disetujui
- sekitar
- menyerang
- Serangan
- Audit
- audit
- menulis
- otorisasi
- penulis
- kesadaran
- kembali
- Bank
- akun bank
- akun bank
- karena
- menjadi
- makhluk
- antara
- Campuran
- Memblokir
- Cabang
- pelanggaran
- dibangun di
- panggilan
- panggilan
- kasus
- pusat
- Cisco
- klien
- memerangi
- bagaimana
- komersial
- Umum
- masyarakat
- dibandingkan
- kompromi
- Dikompromikan
- komputer
- komputasi
- menyimpulkan
- Terhubung
- terhubung
- Menghubungkan
- Koneksi
- konteks
- kontrol
- kontrol
- bisa
- penutup
- maya
- Keamanan cyber
- gelap
- Bacaan gelap
- Pembela
- Derajat
- dikerahkan
- Desktop
- Deteksi
- perbedaan
- berbeda
- melakukan
- domain
- Download
- Karyawan
- karyawan
- berakhir
- menetapkan
- Bahkan
- pERNAH
- contoh
- dikecualikan
- eksekusi
- eksekutif
- menjelaskan
- Menjelaskan
- Federal
- filter
- secara finansial
- Menemukan
- ditemukan
- Keempat
- dari
- fungsi
- lebih lanjut
- Pemerintah
- hacker
- peretasan
- sakit kepala
- menyembunyikan
- High
- sejarah
- HTTPS
- diidentifikasi
- in
- insiden
- respon insiden
- Termasuk
- Meningkatkan
- indikator
- informasi
- Infrastruktur
- install
- sebagai gantinya
- interface
- isu
- IT
- jan
- bersama
- hanya satu
- Korea
- Terakhir
- Tahun lalu
- Legit
- adalah ide yang bagus
- cahaya
- lokal
- Panjang
- mesin
- Mesin
- terbuat
- memelihara
- MEMBUAT
- Membuat
- mengelola
- pengelolaan
- manajemen Alat
- banyak
- Marketing
- hal
- Memori
- hanya
- dimodifikasi
- memodifikasi
- uang
- Memantau
- pemantauan
- bulan
- lebih
- paling
- Paling Populer
- termotivasi
- multi-negara bagian
- beberapa
- nasional
- keamanan nasional
- hampir
- jaringan
- jaringan
- normal
- Catatan
- jumlah
- Jelas
- Oktober
- menawarkan
- ONE
- secara online
- operasi
- sistem operasi
- Operasi
- operator
- urutan
- organisasi
- Lainnya
- sendiri
- lalu
- Melakukan
- mungkin
- Phishing
- telepon
- Tempat
- Polos
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- Kebijakan
- Populer
- mencegah
- sebelumnya
- swasta
- hak
- program
- protokol
- penyedia
- Perempat
- Bacaan
- baru
- mengembalikan uang
- terkait
- hubungan
- dirilis
- terpencil
- Remote Access
- membutuhkan
- Persyaratan
- peneliti
- tanggapan
- Risiko
- manajemen risiko
- berjalan
- sama
- Scam
- mulus
- Kedua
- keamanan
- Kesadaran Keamanan
- layanan
- penyedia jasa
- Layanan
- berbagi
- Melihat
- penting
- mirip
- Perangkat lunak
- Spam
- khusus
- Spot
- Tangga
- RINGKASAN
- musim panas
- sistem
- sistem
- Mengambil
- Talos
- target
- penargetan
- uji
- Grafik
- mereka
- ancaman
- aktor ancaman
- tiga
- Melalui
- ujung
- untuk
- bersama
- alat
- lalu lintas
- memicu
- dipicu
- MENGHIDUPKAN
- khas
- khas
- di mana-mana
- us
- pemerintah kita
- menggunakan
- Pengguna
- dimanfaatkan
- Memanfaatkan
- Berharga
- melalui
- Korban
- korban
- maya
- virtual desktop
- Rentan
- peringatan
- Menonton
- jaringan
- apakah
- yang
- sementara
- SIAPA
- akan
- dalam
- Kerja
- tahun
- tahun
- Anda
- zephyrnet.dll