Продукт для удаленного мониторинга Action1 превратился в инструмент взлома
17/04/23
Исследователи безопасности предупреждают, что киберпреступники стали чаще использовать программное обеспечение для удаленного доступа Action1 в целях сохранения постоянства в скомпрометированных сетях и выполнения команд, сценариев и двоичных файлов.
Action1 — это продукт удаленного мониторинга и управления (RMM), который обычно используется поставщиками управляемых услуг (MSP) и предприятиями для удаленного управления конечными точками в сети, а именно установки обновлений, ПО и управления исправлениями.
По данным аналитической группы The DFIR Report, RMM-платформа Action1 используется несколькими субъектами угроз для разведки и выполнения кода с системными привилегиями на сетевых узлах.
После установки агента Action1 злоумышленники создают политику для автоматизации выполнения двоичных файлов (например, Process Monitor, PowerShell, Command Prompt).
Продукт использовался на начальных этапах как минимум трех недавних атак программ-вымогателей, согласно Securitylab. Однако эксперты не смогли определить конкретную программу-вымогатель, развернутую во время инцидентов.
Примечательно, что тактики, техники и процедуры (TTPs) кампании повторяют прошлогоднюю атаку группировки Monti, о которой мало, что известно. Тогда хакеры взломали среду через уязвимость Log4Shell. Большинство индикаторов компрометации (IoC) в атаке Monti были замечены и в атаках синдиката Conti. Одним из наиболее примечательных IoC было использование агента Action1.
Для киберпреступников легитимные RMM-программы достаточно универсальны, чтобы соответствовать потребностям хакеров. Такие программы обеспечивают широкий охват сети и гарантируют устойчивость, поскольку средства безопасности в среде обычно не отмечают RMM-платформы как угрозу.
Стоит отметить, что Action1 RMM знает о неправомерном использовании продукта злоумышленниками на постэксплуатационной стадии атаки для бокового перемещения (Lateral Movement). Action1 работает над включением новых мер, чтобы остановить неправомерное использование платформы, добавив, что компания «полностью открыта для сотрудничества как с жертвами, так и с правоохранительными органами» в случаях, когда Action1 использовалась для кибератак.