Skeleton Key-campagne misbruikt vertrouwde RMM-tools

In dit artikel:

KnowBe4 Threat Labs waarschuwt voor de zogenaamde Skeleton Key-campagne, waarbij aanvallers legitieme remote monitoring- en managementsoftware (RMM) misbruiken als verborgen toegangspoort tot bedrijfsnetwerken. In plaats van nieuwe malware te bouwen, benutten de bedreigingsactoren bestaande enterprise-tools en ondertekende software om detectie te omzeilen en activiteiten te camoufleren als normaal IT-verkeer.

De aanval begint met phishing: medewerkers ontvangen ogenschijnlijk uitnodigingen van dienstverlener Greenvelope. Wie doorklikt komt op een valse inlogpagina terecht, waarmee credentials worden buitgemaakt. Met deze gegevens creëren de aanvallers geldige access tokens en laten een dropper (o.a. “GreenVelopeCard.exe”) RMM-clients zoals GoTo Resolve en LogMeIn installeren. De RMM-software verbindt vervolgens stilletjes met door de aanvallers beheerde accounts, geeft volledige remote control en maakt kwaadaardige handelingen vrijwel ononderscheidbaar van legitieme beheeractiviteiten.

Voor blijvende aanwezigheid manipuleren de aanvallers het register, Windows-services en verborgen scheduled tasks. Command-and-control-verkeer wordt gerouteerd via officiële GoTo-infrastructuur over HTTPS, waardoor netwerkdetectie moeilijk is en signature-gebaseerde oplossingen vaak tekortschieten.

KnowBe4 dringt er bij organisaties op aan hun verdediging aan te passen: let op abnormaal gebruik van legitieme tools, detecteer ongeautoriseerde RMM-deployments en verdachte identiteitsactiviteit, beperk wie RMM kan installeren en zet sterke toegangscontrole (zoals MFA en monitoring van tokens) in. Alleen focussen op traditionele malwaredetectie is niet langer voldoende.