Ваша система защиты спасёт вас от первого удара — но кто защитит от второго?
Доверие к привычным IT-инструментам всё чаще становится оружием в руках злоумышленников: средства удалённого мониторинга и управления (RMM), изначально предназначенные для администрирования и поддержки, теперь используются для атак, незаметного контроля и кражи данных. Специалисты фиксируют всё более изощрённые схемы внедрения таких решений, что затрудняет их обнаружение и ликвидацию.
В недавней кампании , расследованной экспертами Sublime Security, был зафиксирован случай, когда сразу два популярных RMM-агента — Atera и Splashtop Streamer — оказались внедрены через единый вредоносный дистрибутив. Подобная избыточность делает инфраструктуру атакующих более устойчивой: даже если один компонент удаётся вычислить и удалить, второй остаётся в системе и обеспечивает непрерывный несанкционированный доступ.
Начальная стадия атаки базируется на компрометации учётной записи Microsoft 365 — используя доверие к знакомым платформам, злоумышленники распространяют письма-ловушки, имитирующие уведомления OneDrive. Такие сообщения снабжены фирменной иконкой и стандартной подписью конфиденциальности, а содержат ссылку, якобы ведущую к обычному DOCX-файлу. На деле скачивается файл с подменённым расширением — привычное имя документа дополняется «.msi», что позволяет запустить установку вредоносного ПО, не вызывая подозрений у пользователя.
Внешне процесс установки Atera Agent требует подтверждения и кажется легитимным, однако параллельно, в фоновом режиме, тихо запускается инсталляция Splashtop Streamer и среды .NET Runtime 8 — всё это происходит с использованием официальных источников, что маскирует вредоносную активность под стандартную сетевую работу. Подобная схема сочетает демонстративную «безопасность» с реальным внедрением скрытых инструментов для долгосрочного контроля.
Активировавшись, оба RMM-решения предоставляют злоумышленникам полноценный дистанционный доступ: возможен перехват нажатий клавиш, пересылка файлов и выполнение произвольных команд, при этом внешних признаков взлома может не быть вовсе.
Хотя на этот раз атаку удалось прервать до реализации основной фазы, остаётся неясным, какую именно цель преследовали преступники: шифрование данных, кража корпоративной информации или дальнейшее распространение внутри инфраструктуры.
Признаками атаки служат аномалии в поведении почтовых сервисов и приложений — подмена расширений файлов, появление писем с недоступными ранее адресами, массовая рассылка через скрытые списки. Фишинговые сообщения опираются на комбинацию социальной инженерии и технических ухищрений: привычные логотипы, оформление и ссылка на «cdn.discordapp[.]com», который часто используется как канал доставки вредоносных компонентов из-за его надёжности и слабой фильтрации.
Борьба с подобными угрозами невозможна с опорой только на сигнатурные средства защиты: специалисты рекомендуют использовать поведенческий анализ и отслеживание нетипичных действий, включая контроль за подменой расширений, а также анализ метаданных файлов и сетевого трафика.
Наиболее эффективной профилактикой становится строгая двухфакторная аутентификация, фильтрация URL и постоянный аудит установленного ПО, а также обучение сотрудников принципам кибергигиены — особенно умению различать легитимные уведомления и попытки социальной инженерии.
Расчёт на доверие и инерцию пользователей, сочетание официальных инструментов и малозаметных схем внедрения делают подобные атаки одними из самых сложных для выявления и расследования. Осознание этого факта помогает перестроить корпоративные процессы и минимизировать риск компрометации.