Geng ransomware gila menyalahgunakan alat pemantauan karyawan dalam serangan

Seorang anggota geng ransomware Gila menyalahgunakan perangkat lunak pemantauan karyawan yang sah dan alat dukungan jarak jauh SimpleHelp untuk mempertahankan persistensi dalam jaringan perusahaan, menghindari deteksi, dan mempersiapkan penyebaran ransomware.

Pelanggaran tersebut diamati oleh para peneliti di Pemburu wanitayang menyelidiki beberapa insiden di mana pelaku ancaman menggunakan Net Monitor for Employees Professional bersama SimpleHelp untuk akses jarak jauh ke jaringan yang dibobol, sambil memadukannya dengan aktivitas administratif normal.

Dalam satu intrusi, penyerang menginstal Net Monitor for Employees Professional menggunakan utilitas Penginstal Windows, msiexec.exe, yang memungkinkan mereka menyebarkan agen pemantauan pada sistem yang disusupi langsung dari situs pengembang.

Setelah diinstal, alat ini memungkinkan penyerang melihat desktop korban dari jarak jauh, mentransfer file, dan menjalankan perintah, yang secara efektif memberikan akses interaktif penuh ke sistem yang disusupi.

Penyerang juga mencoba mengaktifkan akun administrator lokal menggunakan perintah ini:

  net user administrator /active:yes

Untuk persistensi yang berlebihan, penyerang mengunduh dan menginstal klien akses jarak jauh SimpleHelp melalui perintah PowerShell, menggunakan nama file yang mirip dengan Visual Studio vshost.exe yang sah.

Payload tersebut kemudian dieksekusi, memungkinkan penyerang untuk mempertahankan akses jarak jauh meskipun alat pemantauan karyawan telah dihapus.

Biner SimpleHelp terkadang disamarkan menggunakan nama file yang berpura-pura terkait dengan OneDrive:

  C:ProgramDataOneDriveSvcOneDriveSvc.exe

Para penyerang menggunakan perangkat lunak pemantauan untuk menjalankan perintah dari jarak jauh, mentransfer file, dan memantau aktivitas sistem secara real-time.

Para peneliti juga mengamati penyerang menonaktifkan Windows Defender dengan mencoba menghentikan dan menghapus layanan terkait.

Dalam satu insiden, para peretas mengonfigurasi aturan pemantauan di SimpleHelp untuk memperingatkan mereka ketika perangkat mengakses dompet mata uang kripto atau menggunakan alat manajemen jarak jauh saat mereka bersiap menghadapi penyebaran ransomware dan potensi pencurian mata uang kripto.

“Log menunjukkan agen terus-menerus menelusuri peristiwa pemicu dan penyetelan ulang untuk kata kunci terkait mata uang kripto, termasuk layanan dompet (metamask, exodus, dompet, blockchain), pertukaran (binance, bybit, kucoin, bitrue, poloniex, bc.game, noones), penjelajah blockchain (etherscan, bscscan), dan platform pembayaran payoneer,” jelas Huntress.

“Selain itu, agen juga memantau kata kunci alat akses jarak jauh, termasuk RDP, anydesk, ultraview, teamview, dan VNC, yang kemungkinan akan mendeteksi apakah ada orang yang aktif terhubung ke mesin.”

Penggunaan beberapa alat akses jarak jauh memberikan redundansi bagi penyerang, memastikan mereka tetap memiliki akses meskipun satu alat ditemukan atau dihapus.

Meskipun hanya satu insiden yang menyebabkan penyebaran ransomware Crazy, Huntress yakin pelaku ancaman yang sama berada di balik kedua insiden tersebut.

“Nama file yang sama (vhost.exe) dan infrastruktur C2 yang tumpang tindih digunakan kembali pada kedua kasus, sangat menyarankan satu operator atau kelompok di balik kedua intrusi tersebut,” jelas Huntress.

Penggunaan alat manajemen dan pemantauan jarak jauh yang sah kini semakin meningkat umum dalam intrusi ransomwarekarena alat ini memungkinkan penyerang untuk berbaur dengan lalu lintas jaringan yang sah.

Huntress memperingatkan bahwa organisasi harus memantau dengan cermat instalasi alat pemantauan dan dukungan jarak jauh yang tidak sah.

Selain itu, karena kedua pelanggaran tersebut dimungkinkan melalui kredensial SSL VPN yang disusupi, organisasi perlu menerapkan MFA pada semua layanan akses jarak jauh yang digunakan untuk mengakses jaringan.