피싱 캠페인이 80개 이상의 조직을 손상시켰으며, SimpleHelp 및 ScreenConnect와 같은 합법적인 원격 접속 도구를 사용했습니다. 공격자들은 피해자를 속여 이러한 프로그램을 설치하게 하여 시스템에 대한 완전한 제어권을 얻습니다. 일단 침투하면 자격 증명을 도용하고, 악성코드를 배포하며, 영향을 받은 네트워크에 지속성을 확보합니다.
공격자들이 합법적인 RMM으로 작동하는 방식 🛡️
공격자들은 기술 지원을 가장한 이메일이나 메시지를 보내 피해자가 SimpleHelp 또는 ScreenConnect를 다운로드하도록 유도합니다. 실행되면 합법적인 소프트웨어가 백신 프로그램에 의심을 받지 않고 원격 제어를 허용합니다. 그런 다음 공격자는 자격 증명 도용기, 랜섬웨어 또는 백도어와 같은 악성 페이로드를 배포하고, 지속적인 접근을 보장하기 위해 시스템 설정을 수정합니다.
아무도 요청하지 않았고 필요하지 않은 기술 지원 🚨
알고 보니 회사에 침투하는 가장 좋은 방법은 복잡한 익스플로잇이 아니라, 정중하게 원격 제어 프로그램을 설치해 달라고 요청하는 것이었습니다. 공격자들은 예고 없이 나타나 PC에 바이러스가 있다고 말한 다음 비밀번호를 훔쳐가는 기술자처럼 행동합니다. 최악의 점은 소프트웨어 자체는 합법적이라는 것입니다. 범죄는 그것을 공식 지원으로 판매했다는 점에 있습니다.