Pesquisadores de segurança estão alertando que os cibercriminosos estão cada vez mais usando o software de acesso remoto Action1 para persistência em redes comprometidas e para executar comandos, scripts e binários.
Action1 é um produto de monitoramento e gerenciamento remoto (RMM) comumente usado por provedores de serviços gerenciados (MSPs) e empresas para gerenciar remotamente endpoints em uma rede.
O software permite que os administradores automatizem a gestão de patches e a implantação de atualizações de segurança, instalem software remotamente, cataloguem hosts, resolvam problemas em endpoints e obtenham relatórios em tempo real.
Embora esses tipos de ferramentas sejam extremamente úteis para os administradores, também são valiosos para os atores de ameaças que podem usá-los para implantar malware ou obter persistência em redes.
Kostas, um membro do grupo de analistas voluntários The DFIR Report, notou que a plataforma Action1 RMM está sendo abusada por vários atores de ameaças para atividades de reconhecimento e para executar código com privilégios do sistema em hosts de rede.
O pesquisador diz que, após instalar o agente Action1, os adversários criam uma política para automatizar a execução de binários (por exemplo, Process Monitor, PowerShell, Prompt de Comando) necessários no ataque.
Além das capacidades de acesso remoto, o Action1 está disponível gratuitamente para até 100 endpoints, que é a única restrição na versão gratuita do produto.
A BleepingComputer tentou aprender mais sobre incidentes em que a plataforma Action1 RMM está sendo abusada e foi informada por fontes que foi observada em ataques de ransomware de vários atores de ameaças.
O produto foi utilizado nas fases iniciais de pelo menos três ataques de ransomware recentes usando diferentes cepas de malware.
Não conseguimos encontrar o ransomware específico implantado durante os incidentes, no entanto.
No entanto, fomos informados de que as táticas, técnicas e procedimentos (TTPs) ecoam um ataque que a equipe de resposta a incidentes da BlackBerry investigou no verão passado.
Os pesquisadores de ameaças atribuíram o ataque a um grupo chamado Monti, que era desconhecido na época.
Os hackers invadiram o ambiente após explorar a vulnerabilidade Log4Shell.
A análise da BlackBerry mostrou que a maioria dos indicadores de comprometimento (IoC) no ataque de Monti foi vista em incidentes de ransomware atribuídos ao sindicato Conti.
Um IoC que se destacou foi o uso do agente Action1 RMM.
Embora os ataques Conti tenham dependido de software de acesso remoto, as escolhas típicas foram a aplicação AnyDesk e o acesso de teste ao Atera RMM - para instalar agentes na rede comprometida, obtendo assim acesso remoto a todos os hosts.
Também há casos em que corretores venderam acesso inicial a organizações por meio do software ManageEngine Desktop Central da Zoho, um produto que permite que os administradores gerenciem sistemas Windows, Linux e Mac na rede.
Do ponto de vista do ransomware, o software RMM legítimo é versátil o suficiente para atender às suas necessidades, fornece amplo alcance na rede e garante persistência contínua porque os agentes de segurança no ambiente geralmente não sinalizam as plataformas como uma ameaça.
Embora o Action1 RMM seja usado legitimamente em todo o mundo por milhares de administradores, o fornecedor está ciente de que o produto está sendo abusado por atores de ameaças na fase pós-comprometimento de um ataque para movimento lateral.
Mike Walters, vice-presidente de Vulnerabilidade e Pesquisa de Ameaças e co-fundador da Action1 Corporation, disse ao BleepingComputer que a empresa introduziu no ano passado um sistema baseado em inteligência artificial para detectar comportamentos de usuário anormais e impedir que hackers usem a plataforma para fins maliciosos.
A Action1 está trabalhando na inclusão de novas medidas para impedir o uso indevido da plataforma, disse o pesquisador, acrescentando que a empresa está "totalmente aberta à cooperação tanto com vítimas quanto com autoridades legais" em casos em que o Action1 foi alavancado para ciberataques.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...