Aux États-Unis, au moins deux agences fédérales ont été victimes d’une « cybercampagne généralisée » qui impliquait l’utilisation d’un logiciel légitime de surveillance et de gestion à distance (RMM) pour perpétuer une escroquerie par hameçonnage.
« Plus précisément, les cybercriminels ont envoyé des e-mails de phishing qui ont conduit au téléchargement de logiciels RMM légitimes – ScreenConnect (maintenant ConnectWise Control) et AnyDesk – que les acteurs ont utilisés dans une escroquerie de remboursement pour voler de l’argent sur les comptes bancaires des victimes », ont déclaré les autorités américaines de cybersécurité. m’a dit.
L’avis conjoint provient de la Cybersecurity and Infrastructure Security Agency (CISA), de la National Security Agency (NSA) et du Multi-State Information Sharing and Analysis Center (MS-ISAC).
Les attaques, qui ont eu lieu à la mi-juin et à la mi-septembre 2022, ont des motivations financières, bien que les acteurs de la menace puissent militariser l’accès non autorisé pour mener un large éventail d’activités, y compris la vente de cet accès à d’autres équipes de piratage.
L’utilisation de logiciels distants par des groupes criminels est depuis longtemps une préoccupation car elle offre une voie efficace pour établir l’accès des utilisateurs locaux sur un hôte sans avoir besoin d’élever les privilèges ou d’obtenir un pied par d’autres moyens.
Dans un cas, les acteurs de la menace ont envoyé un e-mail de phishing contenant un numéro de téléphone à l’adresse e-mail gouvernementale d’un employé, invitant l’individu à accéder à un domaine malveillant. Les e-mails, a déclaré la CISA, font partie d’attaques d’ingénierie sociale sur le thème du service d’assistance orchestrées par les acteurs de la menace depuis au moins juin 2022 ciblant les employés fédéraux.
Les missives liées à l’abonnement contiennent soit un domaine escroc de « première étape », soit s’engagent dans une tactique connue sous le nom de phishing de rappel pour inciter les destinataires à appeler un numéro de téléphone contrôlé par un acteur pour visiter le même domaine.
Quelle que soit l’approche utilisée, le domaine malveillant déclenche le téléchargement d’un binaire qui se connecte ensuite à un domaine de second étage pour récupérer le logiciel RMM sous forme d’exécutables portables.
L’objectif final est de tirer parti du logiciel RMM pour lancer une arnaque au remboursement. Ceci est réalisé en demandant aux victimes de se connecter à leurs comptes bancaires, après quoi les acteurs modifient le résumé du compte bancaire pour donner l’impression que l’individu a été remboursé par erreur d’une somme d’argent excédentaire.
Dans la dernière étape, les opérateurs d’escroquerie exhortent les destinataires des e-mails à rembourser le montant supplémentaire, les escroquant ainsi de leurs fonds.
La CISA a attribué l’activité à une « grande opération de cheval de Troie » divulgué par la société de cybersécurité Silent Push en octobre 2022. Cela dit, des méthodes similaires de diffusion d’attaques par téléphone ont été adoptées par d’autres acteurs, dont Luna Moth (Silent Ransom).
« Cette campagne met en évidence la menace d’une cyberactivité malveillante associée à un logiciel RMM légitime : après avoir obtenu l’accès au réseau cible via le phishing ou d’autres techniques, les cyberacteurs malveillants – des cybercriminels aux APT parrainés par l’État national – sont connus pour utiliser un logiciel RMM légitime comme une porte dérobée pour la persistance et/ou le commandement et le contrôle (C2) », ont averti les agences.
