Атака MalSmoke: инструмент Atera RMM под угрозой

Критический риск Atera RMM

Для большинства поставщиков управляемых услуг риск для Atera RMM крайне мал. Три крупнейших решения RMM — Connectwise, Datto и Kaseya — не подвержены этой уязвимости. Тем не менее, всегда полезно знать больше о том, что замышляют хакеры, поэтому читайте дальше.

По данным Check Point, кампания, впервые замеченная в начале ноября 2021 года, использует легитимное программное обеспечение для удалённого управления для доступа к целевому компьютеру. Затем злоумышленники используют метод проверки цифровой подписи Microsoft, чтобы внедрить вредоносную нагрузку в подписанный DLL-файл Windows и обойти средства защиты.

В частности, кампания начинается с установки Программное обеспечение для удаленного мониторинга и управления Atera на целевой машине. Продукт Atera — это легальный инструмент для удалённого доступа, используемый ИТ-специалистами. Он предлагает бесплатную 30-дневную пробную версию для новых пользователей, которую злоумышленники, вероятно, используют для получения первоначального доступа. После установки продукта операторы получают полный контроль над системой, позволяя запускать скрипты и загружать/выгружать файлы.

Что я должен делать?

Чтобы помочь вам защитить себя и свою организацию от этой конкретной уязвимости, Check Point советует вам применить Обновление Microsoft для строгой проверки Authenticode.

Для поставщиков управляемых услуг (MSP), использующих Datto RMM, предлагается монитор для проверки наличия этого агента. Компонент (Atera Agent Monitor/Uninstaller [WIN]) доступен в ComStore и может быть развёрнут немедленно.