Ein neuer Bericht von Sicherheitsforschern unterstreicht eine zunehmend besorgniserregende Technik: Angreifer nutzen statt eigene Malware legitime Remote-Management-Tools, um dauerhaften Zugang zu engagierten Geräten zu erhalten. Wissen Be4-Forscher beschreiben eine zweistufige Kampagne, in der das erste Ziel ist, Anmeldeinformationen durch falsche E-Mails zu stehlen, und der zweite Teil ist es, diese gestohlenen Anmeldeinformationen in dauerhaften Zugriff mit legitimer Remote Monitoring and Management (RMM) Software zu konvertieren, als wäre es ein "master key" des Systems. Hier können Sie die ursprüngliche Analyse von KnowBe4 lesen: KnowBe4 - Der Skelettschlüssel.
Die erste Phase der Operation nutzt eine überzeugende Deko: Falsche Einladungen, die von legitimen elektronischen Kartenlieferdiensten kommen. Diese Mitteilungen führen den Empfänger dazu, einen Phishing-Link zu drücken, der eine Login-Seite von großen Postanbietern wie Outlook, Yahoo! oder AOL simuliert. Wenn das Opfer seine Anmeldeinformationen einführt, bleiben sie in den Händen der schädlichen Schauspieler, die von dort ohne die Notwendigkeit, komplexe technische Sicherheitslücken auszunutzen.
Mit einem Konto, das ihrer Macht verpflichtet ist, suchen Angreifer diese Richtung auf Remote-Management-Plattformen, um RMM Zugriffstoken zu generieren. Im dokumentierten Fall endet die Kette mit dem Start eines ausführbaren mit einem attraktiven und offensichtlich legitimen Namen - die Datei identifiziert als "GreenVelopeCard.exe" - die eine JSON-Format-Konfiguration enthält. Diese Datei wird digital signiert und verwendet, um das Remote Access-Tool herunterzuladen und zu installieren (in diesem Fall LogMeIn Resolve, auch bekannt als GoTo Resolve) und verbinden Sie es mit einem Server gesteuert durch den Angreifer, ohne dass der Benutzer es warnen. Die betroffene Ware ist auf ihrer offiziellen Website verfügbar: GoTo Resolve.
Sobald das RMM-Tool implementiert ist, ändern die Operatoren ihre Parameter, um mit hohen Windows-Privilegien zu arbeiten und Persistenzmechanismen zu schaffen, die verhindern, dass ein manueller Verschluss das Eindringen beendet: Sie ändern die Service-Einstellungen und erzeugen versteckte programmierte Aufgaben, die die Software so schnell wie erforderlich neu starten. Mit anderen Worten, sie transformieren ein Dienstprogramm, das für eine legitime Verwaltung und Unterstützung in eine effektive und dauerhafte Hintertür entworfen wurde.
Das Hintergrundproblem ist, dass traditionelle Verteidigungen, die ausschließlich auf der Erkennung von "bekannten Malware" basieren, gegen diese Art von Missbrauch scheitern können: Anwendungen sind legal, unterzeichnet und mit gültigen Anmeldeinformationen installiert. Das bedeutet nicht, dass es keine Anzeichen gibt, die überwacht werden können und müssen. Atypische Aktivitäten wie die Schaffung von RMM-Zugang von neuen Konten oder von ungewöhnlichen geografischen Standorten, die Ausgabe von Token von nicht verwalteten Konten, Off-Channel-Support-Software-Einrichtungen und die Anwesenheit von programmierten Aufgaben, die ohne administrative Begründung erstellt werden, sollten Alarme in einem IMS oder Unternehmensüberwachungstools feuern.
In der Praxis besteht die Minderung darin, den Schutz der Anmeldeinformationen zu stärken und die Verwendung eines Verwaltungskontos zu begrenzen. Die Aktivierung und Nachfrage nach Multi-Faktor-Authentifizierung ist eine einfache und effektive Maßnahme, die die Wahrscheinlichkeit drastisch reduziert, dass gestohlene Anmeldeinformationen die Registrierung von Dienstleistungen im Namen des Opfers ermöglichen; Microsoft und andere Lieferanten bieten Leitlinien für die Implementierung von MFA auf robuste Weise: MFA (Microsoft) Anleitung. Darüber hinaus wird empfohlen, eine strenge Inventar der autorisierten RMM-Tools, die Kontrolle der Signaturzertifikate und die Anwendung der am wenigsten privilegierten Richtlinien für Konten, die in der Lage sind, Software zu installieren oder Zugriffstoken zu generieren.
Vorsicht zählt auch. Schulungen für Mitarbeiter und Administratoren, um Phishing-E-Mails und Engagement-Signale zu erkennen, helfen, die Kampagne in ihrer Anfangsphase zu reduzieren. Die Verbraucherschutzbehörden und -einrichtungen haben praktische Ressourcen, um Phishing-Kampagnen zu identifizieren und zu vermeiden: Anti-Phishing-Tipps (FTC). Für Sicherheitsteams ist es bedauerlich, nationale Führer über sicheren Fernzugriff zu überprüfen, wie die von der US-Infrastruktur- und Cybersicherheitsagentur veröffentlicht. Vereinigte Staaten: Sicherung des Fernzugriffs (CISA).
Schließlich ist diese Kampagne eine klare Erinnerung daran, dass das Vertrauen in legitime Werkzeuge manipuliert werden kann. Organisationen müssen davon ausgehen, dass Angreifer nie auf der Suche nach Verknüpfungen aufhören, um Kontrollen zu vermeiden, und daher ist es angebracht, präventive Maßnahmen - wie MFA, spezielle Kontokontrolle und White Application Lists - mit verhaltensbasierter Erkennung, kontinuierliche Überprüfung von Einrichtungen und Reaktionsverfahren zu kombinieren, die den schnellen Widerruf von Token und die Beseitigung von verdächtigen RMM-Diensten beinhalten. Der Schlüssel ist nicht, Remote-Support-Tools als unantastbar zu behandeln, sondern als Ressourcen, die wie jeder andere Governance und Überwachung benötigen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...