חוקרי TrendAI חושפים היום (שני) כי גורמי פשיעה מהמזרח התיכון מנצלים כלי ניהול מרחוק (RMM) לגיטימיים כדי לחדור לרשתות ארגוניות בישראל. התוקפים משתמשים במיילים זדוניים כפתיון, ומשם עוברים להפעלה של כלי ניהול תמימים שמאפשרים להם שליטה מלאה בשרתים ובתחנות קצה. כל זאת, ללא התראה של מערכות הגנה קלאסיות. התקיפה עודנה פעילה.
התקיפה מטרגטת ארגונים בישראל מכל המגזרים, באמצעות הכלי הציבורי screen connect ועד כה הותקפו עשרות ארגונים. לדברי החוקרים מדובר בשחקן איומים בתחכום נמוך, אך משום שהוא מטרגט טווח רחב של ארגונים ומכיוון שהכלים המותקפים מוגדרים כבטוחים ברוב הארגונים, התקיפה מצליחה לעקוף חסמי אבטחה מסורתיים.
חוקרי TrendAI קוראים למנהלי אבטחת מידע לבצע ציד איומים יזום אחר פעילות RMM חריגה ולהטיל מגבלות מחמירות על השימוש בכלים אלו עד להודעה חדשה. מדובר באירוע פעיל, ויש לוודא כי המערכות בארגונכם מנוטרות וכי הגישה לכלים אלו מוגבלת למורשים בלבד.
TrendAI ממליצה על צעדים מיידיים לטיפול. בין הצעדים: הגברת הבקרה על כלי ניהול מרחוק (כגון ScreenConnect, TeamViewer, AnyDesk) וחסימת התקנות/הרצות של גרסאות לא מאושרות או כלים שאינם בשימוש מוצהר; אכיפת אימות רב-שלבי בכלל החיבורים מרחוק, ללא יוצא מן הכלל; ביצוע סריקה לאיתור מיילים נכנסים המכילים קישורים או קבצים המקשרים לכלי ניהול אלו, וחסימת כתובות ה-IP של שרתי השליטה (C2) של הכלים במידת האפשר.
כמו כן, TrendAI מציעה בדיקת רשימת ההרשאות ב-RMM הארגוני לאיתור משתמשים או התקנים חדשים שלא הוגדרו על ידי צוות ה-IT.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו