Varovanie pred pokusmi o prienik do systému zneužitím platformy ZOHO Assist

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred rozsiahlou phishingovou e-mailovou kampaňou zneužívajúcou službu na vzdialené pripojenie ZOHO Assist na získanie neoprávneného prístupu do systému. Kampaň prebieha od 08.01.2022 a správy boli adresované na súkromné aj firemné e-mailové adresy.

V dnes známych prípadoch útočník vystupuje pod kontom l8dfhfghfg@grand-tehno[.]ru (mail sa môže v čase meniť) a prostredníctvom služby „bezobslužný vzdialený prístup (Unattended Remote Access)“ rozposiela e-mailové pozvánky obsahujúce inštalačný súbor klienta ZOHO Assist. Samotný e-mail (viď obrázok nižšie) útočník generuje priamo z webového administratívneho rozhrania ZOHO Assist a je rozposielaný z legitímnej e-mailovej adresy [email protected]. Do tela správy útočník umiestnil texty v rôznych jazykových mutáciách snažiace navodiť v obetiach záujem o spoluprácu. Koniec tela správy obsahuje URL linku slúžiacu na stiahnutie inštalátora ZOHO Assist nakonfigurovaného pre „bezobslužný vzdialený prístup“. Samotná inštalácia vyžaduje štandardné povolenia vyžadované pri inštalácii aplikácií. Po nainštalovaní však už útočník môže na zariadenie obete pristupovať kedykoľvek, nepozorovane, bez akéhokoľvek potvrdenia zo strany obete.  Zariadenie je teda pod plnou kontrolou útočníka bez vedomia obete.

Zneužívanie služieb vzdialeného prístupu v rôznych phishingových a scam kampaniach nie je novinkou, útočníci ich intenzívne zneužívali aj v rámci minuloročných Microsoft Tech Support Scam kampaniach, ktoré boli zamerané na kontaktovanie obete prostredníctvom telefónu. Aktuálna kampaň, zneužívajúca službu ZOHO Assist sa odlišuje práve tým práve tým, že útočník kontaktuje potenciálne obete e-mailom.

Národné centrum kybernetickej bezpečnosti SK-CERT odporúča

  • Pre používateľov:
    • neotvárajte neoverené správy a správy od neznámych používateľov
    • neotvárajte podozrivé prílohy (ani vo Vám známych formátoch ako .pdf/.docx a iné)
    • zakážte povoľovanie makier v dokumentoch
    • neotvárajte URL odkazy vzbudzujúce podozrenie
    • v prípade využívania emailových aplikácií vypnite funkciu náhľadu do prílohy
    • v prípade podozrenia overte obsah správy u odosielateľa inou formou (telefonicky, osobne)
    • nikdy nereagujte na správy žiadajúce akékoľvek osobné a citlivé údaje (prihlasovacie mená, heslá, údaje o platobných prostriedkoch)
    • obzvlášť zvýšte pozornosť, ak zbadáte na obrazovke svojho zariadenia akúkoľvek správu o inštaláciu aplikácií na vzdialený prístup alebo vzdialenú správu
  • Pre administrátorov:
    • zakážte všetky služby vzdialeného prístupu a blokujte prístup na tieto služby (technika blokovania sa líši podľa typu služby vzdialeného prístupu)
    • služby vzdialeného prístupu povoľujte podľa individuálnych oprávnených požiadaviek
    • znemožnite používateľom individuálnu inštaláciu alebo spúštanie neschválených aplikácií na ich pracovných staniciach
    • riaďte inštaláciu akýchkoľvek aplikácií na pracovných staniciach a aj serveroch centralizovane
    • minimalizujte používanie vzdialeného prístupu z externého prostredia a to najmä na dôležité a kritické služby
    • v prípade využívania vzdialeného prístupu používajte overené bezpečnostné opatrenia, napríklad VPN tunely a podobne
  • Pre manažérov:
    • zabezpečte poučenie svojich zamestnancov o hrozbách phishingu
    • preverte nastavenie politík pre vzdialený prístup a v prípade nevhodného stavu zabezpečte nápravu
    • pravidelne kontrolujte, kto a prečo používa vzdialený prístup do systémov organizácie
    • aplikujte vhodné opatrenia na manažment prístupov

 

IOC

Mail:

l8dfhfghfg@grand-tehno[.]ru

URL slúžiace na stiahnutie ZOHO Assist klienta umožňujúcemu bezobslužný prístup pre útočníka:

hXXps://assist.zoho[.]com/unattended?encapiKey=wSsVRa0irhKjBql7nGKtL%2BY7zQ9WVVzzRhl03FDwuXT%2FT%2
FqW88cyn0OYDQXyT%2FNLFzY6EWBBrOgumx5S0DAKj9h%2Byl1UDCiF9mqRe1U4J3x1p7rvnjDMWW1dkxOILIoMwAxjnA%3D%3D

« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy