Aanvallers omzeilen steeds vaker traditionele malwareverdediging door legitieme remote monitoring- en managementtools te misbruiken voor backdoor-toegang. KnowBe4 Threat Labs waarschuwt voor de Skeleton Key-campagne, waarbij bedreigingsactoren vertrouwde IT-software kapen in plaats van custom malware in te zetten.
De campagne laat een groeiende trend zien waarbij aanvallers geen malware meer ontwikkelen, maar bestaande enterprise software hergebruiken. In plaats van de voordeur in te breken, stelen ze de hoofdsleutel door gebruikersdata te compromitteren en remote access-tools om te vormen tot verborgen persistentiemechanismen.
De aanval ontvouwt zich in twee fasen: eerst het verzamelen van credentials, daarna het compromitteren van systemen. Slachtoffers krijgen phishing-e-mails die zich voordoen als Greenvelope-uitnodigingen, een dienst voor zakelijke evenementen en formele communicatie. Wie klikt wordt naar een nepinlogpagina geleid die credentials steelt terwijl de echte dienst wordt nagebootst.
RMM-tools als aanvalswapen
Met gestolen credentials genereren aanvallers legitieme access tokens voor remote monitoring- en managementplatforms. Een bestand genaamd “GreenVelopeCard.exe” installeert tools zoals GoTo Resolve en LogMeIn, waardoor kwaadaardige activiteit opgaat in normaal enterprise-verkeer en signature-gebaseerde detectie wordt ontweken.
KnowBe4 ontdekte dat de dropper een configuratiebestand bevat dat RMM-software instrueert om stil te installeren, verbinding te maken met door aanvallers gecontroleerde accounts en met volledige remote control-mogelijkheden te werken. Door officieel ondertekende software en productie-infrastructuur te gebruiken, verbergen aanvallers zich in plain sight en maken ze hun activiteit vrijwel ononderscheidbaar van legitieme IT-operaties.
Persistentie en command-and-control
Voor persistentie manipuleren aanvallers het register, misbruiken ze Windows-services en zetten ze verborgen scheduled tasks in. Zelfs wanneer administrators de activiteit detecteren en proberen stop te zetten, blijft de remote access behouden.
De command-and-control-strategie routeert kwaadaardig verkeer via GoTo’s officiële infrastructuur met versleutelde HTTPS. Daardoor vermengt communicatie zich met normale enterprise-netwerkstromen en blijft het onopgemerkt door veel bestaande tools.
KnowBe4 stelt dat deze aanvallen organisaties dwingen hun verdedigingsstrategie tegen moderne bedreigingen te heroverwegen. Securityteams moeten monitoren op abnormaal gebruik van legitieme tools, ongeautoriseerde RMM-deployments en verdachte identiteitsactiviteit. Enkel focussen op malwaredetectie is niet meer genoeg.