美国政府的网络安全机构警告说,出于经济动机的犯罪黑客使用合法的远程桌面软件破坏了联邦机构。
CISA 在周三与国家安全局的联合咨询中表示,它已经确定了一场“涉及恶意使用合法远程监控和管理 (RMM) 软件的广泛网络活动”,该活动针对多个联邦文职行政部门机构 – 称为 FCEB ——一份包括国土安全部、财政部和司法部在内的名单。
CISA 表示,它于 10 月首次在两个 FCEB 系统上发现了可疑的恶意活动,同时使用 Einstein 进行了回顾性分析,Einstein 是一种政府运营的入侵检测系统,用于保护联邦民用机构网络。进一步分析得出的结论是,许多其他政府网络也受到了影响。
CISA 将此活动与威胁情报公司 Silent Push 首次发现的出于经济动机的网络钓鱼活动联系起来。但 CISA 没有点名受影响的 FCEB 机构——也没有回应 TechCrunch 的问题。
据 CISA 称,该活动背后的未具名攻击者于 2022 年 6 月中旬开始向联邦雇员的政府和个人电子邮件地址发送以帮助台为主题的网络钓鱼电子邮件。这些电子邮件要么包含指向“第一阶段”恶意网站的链接,该网站冒充微软和亚马逊等知名公司,要么促使受害者致电黑客,黑客随后试图诱骗员工访问恶意域。
这些网络钓鱼电子邮件导致下载了合法的远程访问软件——ScreenConnect(现为 ConnectWise Control)和 AnyDesk——未具名的黑客将其用作退款骗局的一部分,从受害者的银行账户中窃取资金。这些自托管远程访问工具可以让 IT 管理员近乎即时地访问员工的计算机,而与用户的交互最少,但这些工具已被网络犯罪分子滥用以发起看似令人信服的诈骗。
在这种情况下,根据 CISA 的说法,网络犯罪分子使用远程访问软件诱骗员工访问他们的银行账户。黑客使用他们的远程访问权限修改了收款人的银行账户摘要。 “攻击者使用远程访问软件更改受害者的银行账户摘要信息,以显示他们错误地退还了多笔款项,然后指示受害者‘退还’这笔多出的金额,”CISA 说。
CISA 警告说,攻击者还可以使用合法的远程访问软件作为后门,以维持对政府网络的持久访问。 “尽管这一特定活动似乎是出于经济动机并针对个人,但这种访问可能会导致针对接收方组织的其他恶意活动——来自其他网络犯罪分子和 APT 行为者,”该公告称。
美国联邦机构使用合法的远程桌面工具遭到黑客攻击,最初发表于TechCrunch的Carly Page
原文: https://techcrunch.com/2023/01/26/us-federal-agencies-hacked-remote-access-tools/