Vor kurzem haben Forscher der Threat Fusion Cell (TFC) und Mitarbeiter des Security Operations Centers (SOC) von BlueVoyant eine neue RMM-Angriffskampagne aufgedeckt. Die Cyberkriminellen gehen geschickt vor. Ihre Opfer lenken sie auf Fake-Webseiten, auf denen ein bösartiges Java-Script dafür sorgt, dass ein reguläres IT-Fernverwaltungstool heruntergeladen, installiert und gestartet wird – gänzlich unbemerkt von der IT-Sicherheit ihrer Opfer. Nachforschungen von BlueVoyant haben ergeben, dass die Kampagne Ende 2024 gestartet wurde – und nach wie vor läuft. Auch in Deutschland.

In aller Regel beginnt der RMM-Angriff mit einer E-Mail, in der das Opfer dazu aufgefordert wird, auf einen Link zu klicken, der es dann zu einer Fake-Webseite führt. Mal geben sich die Angreifer als Mitarbeiter einer Regierungsbehörde, mal als Angestellte eines Unternehmens oder einer Organisation aus. Die Emails haben Rechnungen, Mahnungen und Verträge, Voicemail-Benachrichtigungen und Veranstaltungseinladungen zum Gegenstand. Allen gemein ist: via Social Engineering wird Dringlichkeit erzeugt, um die Opfer zum Anklicken des Links zu bewegen.

Die Fake-Websites, auf die die Opfer dann nach dem Anklicken des Links gelangen, sind nicht etwa einfache Phishing-Websites, auf denen die Angreifer versuchen, ihre Opfer zur Eingabe ihrer Credentials und weiterer Informationen zu bewegen. Eher ähnelt der Angriff einem fortgeschrittenen Tech-Support-Scam – allerdings ohne ‚Tech Support‘.

Beim Besuch der Fake-Website wird ein Java-Scipt getriggert. Zunächst werden die System- und Metadaten des Opfers (IP-Adresse, Endgerät, Browser, Bildschirmauflösung, etc.) eingesammelt und an einen Telegram-Bot gesandt. Erkennt das Java-Scipt einen stationären Zugriff über eine Windows- oder MacOS-Plattform, startet es unbemerkt den Download einer Datei, bei der es sich um einen getarnten RMM-Agent-Installer handelte. Ist der Download abgeschlossen, installiert er sich automatisch und erstellt dann eine Konfigurationsdatenbank auf der alle wichtigen Einstellungen, wie der Standort des Remote-Servers, die Geräte-ID, das Geräte-Schlüsselpaar und die Sockets-URL, gespeichert werden. Dann verbindet sich der RMM-Agent mit der Clouddienst-Infrastruktur des RMM-Anbieters. Über diese Verbindung kann der Angreifer dann, ohne entdeckt zu werden, böswillige Aktivitäten – getarnt als ordinäre Verwaltungsmuster – in den ansonsten normalen Netzwerkverkehr einfließen lassen. Die Bandbreite der hierbei von den Angreifern zum Einsatz gebrachten RMM-Tools ist groß. PDQ und Atera gehören ebenso dazu, wie ScreenConnect und SimpleHelp.

Eine Analyse der Taktiken, Techniken und Verfahren der Kampagne ergab, dass das BlueVoyant SOC für einen Großteil dieser Aktivitäten bereits über die erforderliche Abdeckung verfügte – insbesondere für RMM-Tool-Installationen, die über Browserprozesse initiiert werden. Dennoch wurden, um die Erkennungsleistung des BlueVoyant-SOC weiter zu verbessern, Kampagnen-spezifische Details aufgenommen. Unternehmen, die den Contintious Monitoring Service von Bluevoyant für ihre SOCs nutzen, wurden die Informationen ebenfalls als Update zur Verfügung gestellt. Unternehmen und Anbietern kann nur geraten werden, ihre SOC-Erkennung ebenfalls auf Vordermann zu bringen. Die Kampagne zeigt: qualitativ haben RMM-Angriffe deutlich zugelegt.