Các nhà nghiên cứu bảo mật đang cảnh báo rằng tội phạm mạng đang ngày càng sử dụng phần mềm truy cập từ xa Action1 để duy trì hoạt động trên các mạng bị xâm nhập và để thực thi các lệnh, tập lệnh và tệp nhị phân.
Action1 là sản phẩm quản lý và giám sát từ xa (RMM) thường được các nhà cung cấp dịch vụ được quản lý (MSP) và doanh nghiệp sử dụng để quản lý từ xa các điểm cuối trên mạng.
Phần mềm này cho phép quản trị viên tự động hóa việc quản lý bản vá và triển khai các bản cập nhật bảo mật, cài đặt phần mềm từ xa, lưu trữ danh mục, khắc phục sự cố trên các điểm cuối và nhận báo cáo theo thời gian thực.
Mặc dù các loại công cụ này cực kỳ hữu ích cho quản trị viên, nhưng chúng cũng có giá trị đối với những kẻ đe dọa có thể sử dụng chúng để triển khai phần mềm độc hại hoặc giành được sự bền vững cho mạng.
Kostas , một thành viên của nhóm phân tích tình nguyện Báo cáo DFIR , nhận thấy nền tảng Action1 RMM đang bị nhiều tác nhân đe dọa lạm dụng cho hoạt động do thám và thực thi mã với các đặc quyền hệ thống trên máy chủ mạng.
Nhà nghiên cứu nói rằng sau khi cài đặt tác nhân Action1, kẻ thù sẽ tạo chính sách để tự động hóa việc thực thi các tệp nhị phân (ví dụ: Trình giám sát quy trình, PowerShell, Dấu nhắc lệnh) cần thiết trong cuộc tấn công.
Tác nhân đe dọa triển khai các tệp nhị phân thông qua nguồn tác nhân Action1
Tsale nhấn mạnh rằng ngoài khả năng truy cập từ xa, Action1 có sẵn miễn phí cho tối đa 100 điểm cuối, đây là hạn chế duy nhất trong phiên bản miễn phí của sản phẩm.
BleepingComputer đã cố gắng tìm hiểu thêm về các sự cố trong đó nền tảng Action1 RMM đang bị lạm dụng và được các nguồn tin cho biết rằng nó đã được quan sát thấy trong các cuộc tấn công ransomware từ nhiều tác nhân đe dọa.
Sản phẩm đã được tận dụng trong giai đoạn đầu của ít nhất ba cuộc tấn công ransomware gần đây bằng cách sử dụng các chủng phần mềm độc hại riêng biệt. Tuy nhiên, chúng tôi không thể tìm thấy ransomware cụ thể được triển khai trong các sự cố.
Tuy nhiên, chúng tôi được thông báo rằng các chiến thuật, kỹ thuật và quy trình (TTP) lặp lại một cuộc tấn công mà nhóm Ứng phó Sự cố BlackBerry đã điều tra vào mùa hè năm ngoái.
Các nhà nghiên cứu về mối đe dọa cho rằng cuộc tấn công được thực hiện bởi một nhóm có tên là Monti, lúc đó chưa được biết đến. Các tin tặc đã vi phạm môi trường sau khi khai thác lỗ hổng Log4Shell .
Phân tích của BlackBerry cho thấy hầu hết các chỉ số về sự xâm phạm (IoC) trong cuộc tấn công Monti đều được phát hiện trong các sự cố ransomware do tổ chức Conti gây ra. Một IoC nổi bật là việc sử dụng tác nhân Action1 RMM.
Trong khi các cuộc tấn công Conti dựa trên phần mềm truy cập từ xa, các lựa chọn điển hình là ứng dụng AnyDesk và quyền truy cập thử vào Atera RMM - để cài đặt các tác nhân trên mạng bị xâm nhập, do đó có được quyền truy cập từ xa vào tất cả các máy chủ.
Cũng có trường hợp người môi giới bán quyền truy cập ban đầu cho các tổ chức thông qua phần mềm ManageEngine Desktop Central của Zoho, một sản phẩm cho phép quản trị viên quản lý các hệ thống Windows, Linux và Mac trên mạng.
Từ góc độ mã độc tống tiền, phần mềm RMM hợp pháp đủ linh hoạt để phù hợp với nhu cầu của chúng, cung cấp khả năng tiếp cận rộng rãi trên mạng và đảm bảo tính bền bỉ liên tục vì các tác nhân bảo mật trong môi trường thường không gắn cờ các nền tảng này là mối đe dọa.
Mặc dù Action1 RMM được hàng nghìn quản trị viên sử dụng hợp pháp trên toàn thế giới, nhưng nhà cung cấp biết rằng sản phẩm đang bị các tác nhân đe dọa lạm dụng trong giai đoạn hậu thỏa hiệp của một cuộc tấn công để di chuyển bên.
Mike Walters, phó giám đốc nghiên cứu về lỗ hổng và mối đe dọa và đồng sáng lập của Action1 Corporation, nói với BleepingComputer rằng công ty đã giới thiệu vào năm ngoái một hệ thống dựa trên trí tuệ nhân tạo để phát hiện hành vi bất thường của người dùng và ngăn chặn tin tặc sử dụng nền tảng cho mục đích xấu.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.