Aktuelle Branchenberichte haben eine Phishing-Kampagne aufgedeckt, die legitime RMM- und Fernzugriffstools missbraucht, um unbefugten Zugriff auf die Systeme der Opfer zu erlangen. Splashtop war eines der Tools, die von Angreifern in dieser Kampagne installiert wurden, aber es ist wichtig zu klären, dass es sich hierbei um einen Fall von Missbrauch durch Social Engineering handelt, nicht um eine Sicherheitslücke oder Schwachstelle in Splashtop.
In diesem Angriff täuschen Cyberkriminelle die Empfänger, um sie dazu zu bringen, RMM- und Fernzugriff-Software herunterzuladen. Einmal installiert, bietet die Software den Hackern einen dauerhaften Fernzugriff auf das System, sodass sie agieren können, als wären sie autorisierte IT-Administratoren. Diese Taktik ermöglicht es Angreifern, traditionelle Malware-Erkennung zu umgehen und sich in legitime Netzwerkaktivitäten einzufügen.
Dieser Blog wird erklären, wie der Angriff funktioniert, warum legitime Fernzugriffstools ins Visier genommen werden und was Sie tun können, um Missbrauch in Ihrer Umgebung zu verhindern.
Wie der Angriff funktioniert
Diese Phishing-Kampagne folgt einer klaren Abfolge, die darauf abzielt, Empfänger dazu zu bringen, legitime Fernzugriffstools unter der Kontrolle des Angreifers zu installieren.
1. Phishing-E-Mail-Zustellung
Angreifer senden E-Mails, die von vertrauenswürdigen Quellen zu stammen scheinen, wie z.B. Microsoft OneDrive-Dateifreigabenachrichten. Diese Nachrichten werden von kompromittierten Microsoft 365-Konten gesendet, was ihre Glaubwürdigkeit erhöht.
2. Bösartige Datei-Hosting
Der E-Mail-Link leitet das Ziel zu einem bösartigen MSI-Installer weiter, der auf Discords Content Delivery Network (CDN) gehostet wird. Das Hosting der Datei auf einem bekannten Dienst hilft, einige Sicherheitsfilter zu umgehen.
3. Installation von legitimen RMM- und Fernzugriffstools
Bei Ausführung installiert der Installer stillschweigend:
Splashtop Streamer
Atera Agent
Unterstützende Komponenten wie .NET Runtime 8
Die Installation von mehr als einem Tool stellt die Persistenz sicher. Wenn eine Anwendung erkannt und entfernt wird, kann die andere weiterhin Zugriff gewähren.
4. Fernzugriff und -steuerung
Mit den installierten Tools können Angreifer:
Auf das System aus der Ferne zugreifen
Dateien oder Daten verschieben
Befehle ausführen, als wären sie autorisiertes IT-Personal
Warum Angreifer legitime Fernzugriffstools verwenden
Fernzugriffs- und RMM-Software sind darauf ausgelegt, IT-Teams dabei zu helfen, Geräte sicher zu verwalten, Probleme aus der Ferne zu beheben und Updates von überall durchzuführen. Diese gleichen Fähigkeiten machen sie für Angreifer attraktiv, wenn sie missbraucht werden:
Fügt sich in normale Aktivitäten ein – Die Software ist vertrauenswürdig und oft bereits in vielen Umgebungen vorhanden, sodass ihre Installation möglicherweise keinen sofortigen Verdacht erregt.
Umgeht traditionelle Malware-Erkennung – Sicherheitstools markieren möglicherweise keine legitimen, digital signierten Anwendungen auf die gleiche Weise wie unbekannte ausführbare Dateien.
Gewährt volle Systemkontrolle – Einmal installiert, bieten diese Tools das gleiche Zugriffslevel wie ein autorisierter IT-Administrator.
Sichert Persistenz – Der Einsatz von mehr als einem Tool (wie in dieser Kampagne zu sehen) ermöglicht den Zugriff, selbst wenn eines entfernt wird.
Nicht durch eine Software-Schwachstelle verursacht
Diese Art von Missbrauch wird nicht durch eine Schwachstelle in der Software verursacht. Stattdessen resultiert sie aus erfolgreichem Social Engineering. Die größte Waffe des Angreifers ist es, jemanden davon zu überzeugen, das Tool für ihn zu installieren und so die normalen IT-Kontrollen zu umgehen.
Damit der Angriff funktioniert, mussten mehrere Schritte aufeinander abgestimmt sein:
Eine Phishing-E-Mail überzeugte das Ziel, auf einen bösartigen Link zu klicken.
Das Opfer hat einen getarnten Installer heruntergeladen und ausgeführt.
Die Software wurde ohne IT-Genehmigung installiert.
Der Angreifer verband sich mit der neu installierten Software.
Wenn einer dieser Schritte blockiert wird, schlägt der Angriff fehl. Deshalb sind starke Phishing-Abwehrmaßnahmen, Installationskontrollen und Kontosicherheitsmaßnahmen unerlässlich.
Missbrauch von Splashtop in Ihrer Umgebung verhindern
Obwohl die Software selbst in dieser Kampagne nicht ausgenutzt wurde, können Organisationen proaktive Schritte unternehmen, um es Angreifern erheblich zu erschweren, legitime Software zu missbrauchen:
Beschränken Sie die Softwareinstallation auf genehmigte Administratoren durch Endpunktmanagement-Richtlinien.
Mitarbeiter schulen, wie man Phishing-Versuche erkennt, einschließlich verdächtiger Dateifreigabelinks.
Erinnern Sie das Personal daran, niemals Installer aus unerwarteten E-Mails herunterzuladen oder auszuführen, selbst wenn sie aus internen Quellen zu stammen scheinen.
Ermutigen Sie zur schnellen Meldung von verdächtigen Nachrichten oder unerwarteten Fernzugriffsaufforderungen.
Die Kombination dieser Maßnahmen stellt sicher, dass selbst wenn eine Phishing-E-Mail durchrutscht, mehrere Schutzmaßnahmen einem Angreifer den Zugang verwehren.
Wie Splashtop den Zugriff sichert
Splashtop enthält integrierte Sicherheitsfunktionen, die Organisationen die Kontrolle darüber geben, wer sich verbinden kann, von wo und unter welchen Bedingungen. Bei richtiger Konfiguration machen diese Fähigkeiten es Angreifern erheblich schwerer, die Plattform zu missbrauchen.
Wichtige Sicherheitsfunktionen umfassen:
Multifaktor-Authentifizierung (MFA) zur Überprüfung der Benutzeridentität, bevor Zugriff gewährt wird.
Integration von Single Sign-On (SSO) für zentralisierte Zugriffskontrolle und Durchsetzung von Unternehmensauthentifizierungsrichtlinien.
Rollenbasierte Zugriffskontrollen, die es Administratoren ermöglichen, Berechtigungen basierend auf der Jobfunktion zu beschränken.
Geräteauthentifizierung, um sicherzustellen, dass nur genehmigte Maschinen eine Verbindung herstellen können.
Sitzungsprotokollierung und -aufzeichnung für Einblick, wer wann auf was zugegriffen hat.
Granulare Bereitstellungskontrollen, um die Installation von Splashtop Streamer auf genehmigte Systeme zu beschränken.
Unser Engagement für Sicherheit
Splashtop nimmt Sicherheit ernst und überwacht genau Berichte über Cyber-Bedrohungen, die unsere Produkte betreffen, selbst wenn die Aktivität das Ergebnis von Missbrauch und nicht einer Schwachstelle ist. Wir glauben, dass Transparenz entscheidend ist, um das Vertrauen unserer Kunden und Partner zu erhalten.
Unsere Sicherheits- und Ingenieurteams bewerten kontinuierlich potenzielle Missbrauchsszenarien, verbessern die Erkennungsfähigkeiten und bieten Anleitungen, um Kunden bei der sicheren Konfiguration von Splashtop zu unterstützen. Wenn neue Bedrohungsinformationen auftauchen, bewerten wir, ob Änderungen an Produktfunktionen, Standardeinstellungen oder Schulungsmaterialien für Kunden erforderlich sind.
Wenn Splashtop von autorisierten Administratoren bereitgestellt und verwaltet wird, bleibt es eine sichere und zuverlässige Plattform für Fernzugriff. Durch die Kombination unserer integrierten Sicherheitsfunktionen mit Endpunktschutz und Schulungen zur Benutzerbewusstheit können Organisationen das Risiko von Missbrauch erheblich reduzieren.
Entdecken Sie unsere Splashtop-Produkte und kontaktieren Sie uns, um mehr über unsere Lösungen und Sicherheit zu erfahren.
