Útok MalSmoke: Nástroj Atera RMM je ohrozený

Kritické riziko Atera RMM

Pre väčšinu poskytovateľov spravovaných služieb existuje len veľmi malé riziko pre Atera RMM. Tri veľké riešenia RMM – Connectwise, Datto a Kaseya, nie sú touto zraniteľnosťou ohrozené. Napriek tomu je vždy užitočné vedieť viac o tom, čo hackeri chystajú, takže čítajte ďalej.

Spoločnosť Check Point uviedla, že kampaň, ktorá bola prvýkrát videná začiatkom novembra 2021, používa legitímny softvér na vzdialenú správu na prístup k cieľovému počítaču. Odtiaľ útočníci zneužívajú metódu overovania digitálneho podpisu od spoločnosti Microsoft na vloženie škodlivého obsahu do podpísaného súboru DLL systému Windows, aby obišli bezpečnostné opatrenia.

Kampaň sa konkrétne začína inštaláciou Softvér na diaľkové monitorovanie a správu Atera na cieľovom počítači. Produkt spoločnosti Atera, legitímny nástroj na diaľkový prístup používaný IT profesionálmi, ponúka novým používateľom bezplatnú 30-dňovú skúšobnú verziu, čo je možnosť, ktorú útočníci pravdepodobne využívajú na získanie počiatočného prístupu. Po nainštalovaní produktu majú operátori plnú kontrolu nad systémom, môžu spúšťať skripty a nahrávať alebo sťahovať súbory.

Čo mám robiť?

Aby ste sa chránili vy a vaša organizácia pred týmto konkrétnym zneužitím, spoločnosť Check Point vám odporúča použiť Aktualizácia od spoločnosti Microsoft pre prísne overovanie Authenticode.

Pre poskytovateľov spravovaných služieb (MSP) používajúcich Datto RMM ponúkajú monitor na kontrolu prítomnosti tohto agenta. Komponent (Atera Agent Monitor/Uninstaller [WIN]) je dostupný v ComStore a je možné ho okamžite nasadiť.