26/01/23
2 неназванных федеральных агентства США подверглись мошеннической кампании с использованием ПО для удаленного мониторинга и управления (Remote Monitoring and Management, RMM).
Агентство кибербезопасности и безопасности инфраструктуры (CISA), Агентство национальной безопасности (АНБ) и Межгосударственный центр обмена и анализа информации (MS-ISAC) обнаружили кампанию ещё в октябре. Одно федеральное бюро было взломано в июне, а другое подверглось нападению в сентябре.
Киберпреступник отправлял фишинговые электронные письма, которые приводили к загрузке легитимных программ удаленного доступа ScreenConnect (ConnectWise Control) и AnyDesk, которые злоумышленник использовал для кражи денег с банковских счетов жертв.
Хакер сначала подключился к системе получателя денег и убедил его войти в свой онлайн-банк. Затем хакер через удаленный доступ изменил баланс счёта так, как будто получателю по ошибке была переведена избыточная сумма денег. Затем мошенник попросил жертву вернуть ему эту сумму.
В июне в ходе похожей кампании на email-адрес госслужащего было отправлено фишинговое письмо с номером телефона. Сотрудник позвонил по указанному номеру, и его отправили на вредоносный сайт.
Оттуда хакер загрузил портативные версии AnyDesk и ScreenConnect, которые затем были настроены для подключения к серверу злоумышленника. CISA отметила, что киберпреступники используют портативные версии, поскольку они могут запускаться на устройстве без установки и прав администратора.
После подключения к системе жертвы мошенник убеждает пользователя войти в онлайн-банк. Затем он меняет баланс счета, чтобы создать впечатление, что жертве вернули слишком много денег, и просит вернуть средства мошеннику.
Оба инцидента были связаны с фишинговыми электронными письмами от лица службы поддержки, отправленными на личные и рабочие адреса сотрудников. По словам CISA и АНБ, эта кампания направлена на кражу денег, но злоумышленник также может продать доступ к счёту жертвы правительственным хакерам. RMM-программы позволяют злоумышленникам устанавливать локальный пользовательский доступ без привилегий администратора и обходить средства мониторинга.
