Onderzoekers van
cybersecuritybedrijf Proofpoint delen nieuwe inzichten naar aanleiding
van hun onderzoek naar TrustConnect. Door de grote hoeveelheid
bestaande tools voor remote access management waaruit cybercriminelen
kunnen kiezen en de prevalentie in het dreigingslandschap, had
TrustConnect veel weg van een legitieme Remote Monitoring en Management
(RMM)-tool die misbruikt werd. Het had zelfs een valse businesswebsite
en een Extended Validation (EV)-code certificaat. Hoewel het zichzelf
voordoet als enterprise software, wijst het recente onderzoek op dat
het gaat om een nieuwe Malware-as-a-Service (MaaS) die is ingedeeld als
remote access trojan (RAT).
Cybercriminelen integreren
malware steeds vaker in bedrijfstools. Hierbij misbruiken ze
betrouwbaarheidskenmerken zoals
EV-certificaten. AI-tools dragen ook bij aan de snelheid
waarmee cybercriminelen hun aanvallen innoveren en nog sneller uit
kunnen zetten.
Verder blijkt uit het
onderzoek dat:
- TrustConnect doet zich voor als legitieme
IT-support software, maar opereert als een
full-featured backdoor met remote desktoptoegang, het
uitvoeren van opdrachten en bestandsoverdracht.
- EV-certificaten worden misbruikt, waarbij de
operator een legitiem Extended Validation-certificaat ontvangt.
Hiermee kan het digitaal malware ondertekenen waardoor het de
securitycontroles kan omzeilen, nog voordat onderzoekers de
intrekking kunnen coördineren.
- De malware wordt geleverd samen met of door
legitieme tools zoals ScreenConnect en LogMeIn. Dit weerspiegelt
een grote overlap met de huidige
cybercriminele-infrastructuur.
- Na het verstoren van de infrastructuur,
schakelt de dreigingsactor over op een nieuwe infrastructuur. Hier
start het met het testen van een nieuwe versie, het zogeheten
DocConnect. Dit duidt op een snel aanpassingsvermogen.
- Op basis van artefacten uit het ecosysteem en
de operationele overlap concluderen onderzoekers dat de
dreigingsactor eerder betrokken was bij
Redline-stealeractiviteiten.
Het verstoren van
MaaS-activiteiten gaf cybercriminelen de kans om gaten in de
cybercrimemarkt op te vullen. En hoewel deze verstoringen effectief
zijn en de nodige kosten met zich meebrengen, blijkt dat
cybercriminelen altijd zullen zoeken naar nieuwe manieren om
slachtoffers te maken. TrustConnect doet zich voor als legitieme RMM,
maar de lokmiddelen, aanvalsketens en vervolgpayloads (waaronder RMM’s)
tonen overeenkomsten met technieken en leveringsmethoden die vaak
worden waargenomen in RMM-misbruikcampagnes. Deze methode wordt door
meerdere dreigingsactoren gebruikt. Daarnaast is het zeer
waarschijnlijk dat zowel de TrustConnect- als de DocConnect-websites en
–agents gecodeerd zijn met behulp van AI-agents. Een nieuwe versie zal
aanzienlijk geavanceerder zijn. Dreigingsactoren vernieuwen hun
methoden snel dankzij AI, waardoor ze momentum blijven houden. Het is
daarom des te belangrijker om hierop in te spelen.
Lees voor meer
informatie
hier
het volledig Engelstalige bericht.