Bezpečnostní výzkumníci upozornili na novou kampaň, v níž je ruský toolkit označovaný jako CTRL doručován prostřednictvím škodlivých souborů LNK. Útočníci podle zjištění zneužívají tuto infrastrukturu k převzetí vzdáleného přístupu přes protokol RDP a k maskování komunikace pomocí tunelů FRP.
Kampaň začíná doručením podvrženého souboru LNK, který po spuštění aktivuje další fáze útoku. Ty vedou ke stažení a spuštění nástrojů potřebných pro navázání spojení s infrastrukturou útočníka. Cílem je získat trvalý vzdálený přístup do napadeného systému a obejít běžná síťová omezení.
Jedním z klíčových prvků celé operace je využití FRP, tedy nástroje Fast Reverse Proxy. Ten útočníkům umožňuje vytvořit tunel mezi kompromitovaným zařízením a jejich serverem, a tím zpřístupnit interní služby, které by jinak nebyly z internetu dostupné. V praxi to znamená, že útočníci mohou přesměrovat RDP provoz a připojit se k napadenému stroji, jako by byl přímo vystavený do veřejné sítě.
Analytici upozorňují, že tato technika je pro obránce nebezpečná zejména proto, že kombinuje relativně jednoduchý počáteční vektor infekce s efektivními nástroji pro vzdálenou správu a skrytý pohyb v síti. Škodlivé LNK soubory jsou navíc dlouhodobě oblíbené, protože se mohou tvářit jako legitimní dokumenty nebo zástupci a uživatele přimět ke spuštění.
Toolkit CTRL je podle zprávy spojován s ruským prostředím a slouží jako sada nástrojů pro následné operace po prvotním průniku. Jakmile je přístup navázán, mohou útočníci provádět další činnosti, například průzkum systému, pohyb po síti, nasazení dalšího malwaru nebo krádež dat.
Výzkumníci zároveň doporučují organizacím zaměřit se na detekci podezřelého spouštění souborů LNK, monitorování neobvyklých procesových řetězců a odhalování nástrojů pro tunelování, jako je FRP. Důležité je také omezit vystavení RDP, zavést vícefaktorové ověřování a důsledně sledovat odchozí spojení na neznámé servery.
Útok znovu ukazuje, že i zdánlivě jednoduché soubory zástupců mohou představovat vysoce účinný vstupní bod do firemních systémů. Ve spojení s tunelovacími nástroji a vzdáleným přístupem pak útočníci získávají nenápadný a stabilní kanál pro další kompromitaci prostředí.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
