Hackers começam a abusar do Action1 RMM em ataques de ransomware
17 de Abril de 2023

Pesquisadores de segurança estão alertando que os cibercriminosos estão cada vez mais usando o software de acesso remoto Action1 para persistência em redes comprometidas e para executar comandos, scripts e binários.

Action1 é um produto de monitoramento e gerenciamento remoto (RMM) comumente usado por provedores de serviços gerenciados (MSPs) e empresas para gerenciar remotamente endpoints em uma rede.

O software permite que os administradores automatizem a gestão de patches e a implantação de atualizações de segurança, instalem software remotamente, cataloguem hosts, resolvam problemas em endpoints e obtenham relatórios em tempo real.

Embora esses tipos de ferramentas sejam extremamente úteis para os administradores, também são valiosos para os atores de ameaças que podem usá-los para implantar malware ou obter persistência em redes.

Kostas, um membro do grupo de analistas voluntários The DFIR Report, notou que a plataforma Action1 RMM está sendo abusada por vários atores de ameaças para atividades de reconhecimento e para executar código com privilégios do sistema em hosts de rede.

O pesquisador diz que, após instalar o agente Action1, os adversários criam uma política para automatizar a execução de binários (por exemplo, Process Monitor, PowerShell, Prompt de Comando) necessários no ataque.

Além das capacidades de acesso remoto, o Action1 está disponível gratuitamente para até 100 endpoints, que é a única restrição na versão gratuita do produto.

A BleepingComputer tentou aprender mais sobre incidentes em que a plataforma Action1 RMM está sendo abusada e foi informada por fontes que foi observada em ataques de ransomware de vários atores de ameaças.

O produto foi utilizado nas fases iniciais de pelo menos três ataques de ransomware recentes usando diferentes cepas de malware.

Não conseguimos encontrar o ransomware específico implantado durante os incidentes, no entanto.

No entanto, fomos informados de que as táticas, técnicas e procedimentos (TTPs) ecoam um ataque que a equipe de resposta a incidentes da BlackBerry investigou no verão passado.

Os pesquisadores de ameaças atribuíram o ataque a um grupo chamado Monti, que era desconhecido na época.

Os hackers invadiram o ambiente após explorar a vulnerabilidade Log4Shell.

A análise da BlackBerry mostrou que a maioria dos indicadores de comprometimento (IoC) no ataque de Monti foi vista em incidentes de ransomware atribuídos ao sindicato Conti.

Um IoC que se destacou foi o uso do agente Action1 RMM.

Embora os ataques Conti tenham dependido de software de acesso remoto, as escolhas típicas foram a aplicação AnyDesk e o acesso de teste ao Atera RMM - para instalar agentes na rede comprometida, obtendo assim acesso remoto a todos os hosts.

Também há casos em que corretores venderam acesso inicial a organizações por meio do software ManageEngine Desktop Central da Zoho, um produto que permite que os administradores gerenciem sistemas Windows, Linux e Mac na rede.

Do ponto de vista do ransomware, o software RMM legítimo é versátil o suficiente para atender às suas necessidades, fornece amplo alcance na rede e garante persistência contínua porque os agentes de segurança no ambiente geralmente não sinalizam as plataformas como uma ameaça.

Embora o Action1 RMM seja usado legitimamente em todo o mundo por milhares de administradores, o fornecedor está ciente de que o produto está sendo abusado por atores de ameaças na fase pós-comprometimento de um ataque para movimento lateral.

Mike Walters, vice-presidente de Vulnerabilidade e Pesquisa de Ameaças e co-fundador da Action1 Corporation, disse ao BleepingComputer que a empresa introduziu no ano passado um sistema baseado em inteligência artificial para detectar comportamentos de usuário anormais e impedir que hackers usem a plataforma para fins maliciosos.

A Action1 está trabalhando na inclusão de novas medidas para impedir o uso indevido da plataforma, disse o pesquisador, acrescentando que a empresa está "totalmente aberta à cooperação tanto com vítimas quanto com autoridades legais" em casos em que o Action1 foi alavancado para ciberataques.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...