Secondo Proofpoint, sempre più spesso gli attori di minacce utilizzano strumenti legittimi di monitoraggio e gestione remota per eludere il rilevamento
I ricercatori di Proofpoint hanno osservato un numero sempre maggiore di attori di minacce che fa uso di strumenti di Remote Monitoring and Management (RMM) legittimi nelle campagne email come payload di primo livello per i cyberattacchi.
Utilizzato in modo legittimo, il software RMM permette agli admin IT di gestire flotte di computer da remoto. Quando abusato, questo software ha le stesse capacità dei trojan di accesso remoto (RAT) e viene sempre più spesso distribuito via email da autori di minacce con motivazioni finanziarie.
Nel 2024, i ricercatori di Proofpoint hanno osservato un notevole aumento dell’utilizzo di strumenti RMM da parte di malintenzionati in campagne documentate, utilizzando payload come ScreenConnect, Fleetdeck e Atera. Questo dato si allinea alla diminuzione di loader e botnet di grandi dimensioni, tipicamente utilizzati dai broker di accesso iniziale, che deriva con ogni probabilità dall’interruzione causata dalla cosiddetta Operazione Endgame, che nel 2024ha smantellato importanti famiglie di malware quali IcedID, Trickbot e Bumblebee.
I principali risultati della ricerca evidenziano:
– Strumenti legittimi usati con intenzioni malevole: i cyber criminali stanno abusando di strumenti RMM come ScreenConnect e Atera, progettati per gli admin IT, per ottenere accesso, rubare dati e distribuire ransomware.
– Tattiche in evoluzione: il declino dei loader e delle botnet tradizionali ha coinciso con l’aumento dell’uso di RMM, a conferma di un cambiamento nelle metodologie di attacco.
– Attori emergenti: Proofpoint ha recentemente indicato un nuovo attore di minacce, TA583, che è stato osservato distribuire strumenti RMM in campagne mirate spacciandosi per organizzazioni pubbliche e private, con l’obiettivo di ottenere accesso remoto negli ambienti di destinazione.
Proofpoint prevede che l’utilizzo di tool RMM come payload di primo livello aumenterà.
“Per gli attori delle minacce è abbastanza semplice creare e distribuire strumenti di monitoraggio remoto di proprietà e, poiché si tratta di software spesso utilizzati in modo legittimo, gli utenti potrebbero essere meno sospettosi nell’installarli, rispetto ad altri trojan di accesso remoto. Inoltre, il fatto che gli installer siano spesso payload firmati e legittimi può consentire a tali strumenti di eludere l’antivirus o il rilevamento di rete, nonostante vengano distribuiti con intenzioni pericolose,” afferma Selena Larson, threat researcher di Proofpoint.
Tutti i dettagli delle campagne sono disponibili qui https://www.proofpoint.com/us/blog/threat-insight/remote-monitoring-and-management-rmm-tooling-increasingly-attackers-first-choice
