زمانی که هدفها با شماره تماس میگیرند یا از دامنه بازدید میکنند، متقاعد میشوند که نرمافزار میز کمک RMM قانونی را از یک دامنه مرحله دوم، CISA با نامهای خاص ScreenConnect و AnyDesk دانلود کنند. بازیگران بد از فایل های اجرایی قابل حمل برای دور زدن حفاظت های امنیتی استفاده می کنند که مانع از نصب نرم افزار توسط کارمندان می شود. فایلهای اجرایی قابل حمل، فایلهای exe هستند که بدون نصب بر روی رایانه اجرا میشوند و اکثر نرمافزارهای اشتراکگذاری دسکتاپ این موارد را دارند.
در این اخطار شبکههای خاص FCEB که ممکن است قربانی شده باشند، ذکر نشده است، و همچنین اشاره ای به خسارات یا خسارات مالی نشده است. این عمدتاً یک هشدار برای آگاه کردن آژانسها و نحوه کاهش خطر بود. CISA اقدامات مدیریتی پیشگیرانه ساده مانند مسدود کردن ایمیلهای فیشینگ، ممیزی ابزارهای دسترسی از راه دور، بررسی گزارشها برای نمونههای اجرای RMM و سایر موارد بهداشت امنیتی عقل سلیم را فهرست میکند. CISA شامل یک اینفوگرافیک آموزنده، اگر نه تا حدودی ترسناک، برای علاقه مندان بود.
در سپتامبر 2022، CISA در چندین شبکه FCEB ممیزی انجام داد و متوجه شد که آنها قربانی یک “کمپین فیشینگ گسترده و با انگیزه مالی” شده اند. یک ماه بعد، محققان امنیتی در Silent Push از یک کمپین تروجان “typosquatting” گزارش دادند که شامل چندین دامنه قابل اعتماد از جمله PayPal، Microsoft، Geek Squad و Amazon بود. روز چهارشنبه، CISA تایید کرد که چندین کارمند فدرال درگیر کمپین فیشینگ با موضوع میز کمک شده اند.
“[We] در این هشدار آمده است که حداقل از ژوئن 2022، بازیگران مجرم سایبری ایمیلهای فیشینگ با موضوع میز کمک به آدرسهای ایمیل شخصی و دولتی کارکنان فدرال FCEB ارسال کردهاند.
TL;DR: آژانس امنیت سایبری و امنیت زیرساخت (CISA)، آژانس امنیت ملی (NSA) و مرکز به اشتراک گذاری و تجزیه و تحلیل اطلاعات چند ایالتی (MS-ISAC) هشدار مشترکی صادر کردند مبنی بر اینکه عوامل تهدید (TA) کمپین هک/فیشینگ را تشدید می کنند. استفاده از نرم افزار نظارت و مدیریت از راه دور قانونی (RMM). CISA خاطرنشان می کند که حملات متعددی را در شبکه های شعبه اجرایی غیرنظامی فدرال (FCEB) کشف کرده است.
با کلاهبرداران با آتش مبارزه کنید.
هنگامی که TA ها از طریق نرم افزار RMM به هدف دسترسی پیدا می کنند، سعی می کنند کلاهبرداری بازپرداخت را اجرا کنند. این حمله شامل متقاعد کردن قربانی برای دسترسی به حساب بانکی خود، سپس تغییر صفحه نمایش خلاصه حساب است تا به نظر برسد که شرکت پول زیادی را بازپرداخت کرده است. سپس کلاهبردار از هدف می خواهد که وجوه اضافی را پس بگیرد.
کلاهبرداری ها کمی پیچیده تر از ایمیل های فیشینگ معمولی هستند که اکثر مردم نادیده می گیرند. ایمیلهایی که «فیشینگ پاسخ به تماس» نامیده میشوند، مانند ایمیل «جوخه گیک»، قانونی به نظر میرسند. ایمیلها به شکل یک اطلاعیه تمدید خودکار اشتراک با قیمت بالا هستند و شمارهای را برای تماس برای لغو شارژ خودکار یا پیوندی به یک «دامنه مخرب مرحله اول» فهرست میکنند. اینها صفحاتی هستند که از مشاغل قانونی مانند پی پال تقلید می کنند. URL ها نیز پنهان هستند، برای مثال paypalsec.com.
CISA گفت: «هجومکنندگان از نرمافزار دسترسی از راه دور برای تغییر اطلاعات خلاصه حساب بانکی قربانی استفاده کردند تا نشان دهند که آنها به اشتباه مقدار اضافی پول را بازپرداخت کردهاند، سپس به قربانی دستور دادهاند که این مبلغ اضافی را «بازپرداخت» کند.