В недавней кампании, расследованной экспертами Sublime Security, был зафиксирован случай, когда сразу два популярных RMM-агента — Atera и Splashtop Streamer — оказались внедрены через единый вредоносный дистрибутив. Подобная избыточность делает инфраструктуру атакующих более устойчивой, пишут в Securitylab: даже если один компонент удаётся вычислить и удалить, второй остаётся в системе и обеспечивает непрерывный доступ.
Начинается атака со взлома учётной записи Microsoft 365 — используя доверие к знакомым платформам, злоумышленники распространяют письма-ловушки, имитирующие уведомления OneDrive. Такие сообщения снабжены фирменной иконкой и стандартной подписью конфиденциальности, а содержат ссылку, якобы ведущую к обычному DOCX-файлу. На деле скачивается файл с подменённым расширением — привычное имя документа дополняется «.msi», что позволяет запустить установку вредоносного ПО, не вызывая подозрений у пользователя.
Внешне процесс установки Atera Agent требует подтверждения и кажется легитимным, однако параллельно, в фоновом режиме, тихо запускается инсталляция Splashtop Streamer и среды .NET Runtime 8 — всё это происходит с использованием официальных источников, что маскирует вредоносную активность под стандартную сетевую работу. Подобная схема сочетает демонстративную «безопасность» с реальным внедрением скрытых инструментов для долгосрочного контроля.
Активировавшись, оба RMM-решения предоставляют злоумышленникам полноценный дистанционный доступ: возможен перехват нажатий клавиш, пересылка файлов и выполнение произвольных команд, при этом внешних признаков взлома может не быть вовсе.
Хотя на этот раз атаку удалось прервать до её полного выполнения, остаётся неясным, какую именно цель преследовали преступники: шифрование данных, кража корпоративной информации или дальнейшее распространение внутри инфраструктуры.