TrustConnect: een RAT in vermomming
Onderzoekers van cybersecuritybedrijf Proofpoint delen nieuwe inzichten naar aanleiding van hun onderzoek naar TrustConnect. Door de grote hoeveelheid bestaande tools voor remote access management waaruit cybercriminelen kunnen kiezen en de prevalentie in het dreigingslandschap, had TrustConnect veel weg van een legitieme Remote Monitoring en Management (RMM)-tool die misbruikt werd. Het had zelfs een valse businesswebsite en een Extended Validation (EV)-code certificaat. Hoewel het zichzelf voordoet als enterprise software, wijst het recente onderzoek op dat het gaat om een nieuwe Malware-as-a-Service (MaaS) die is ingedeeld als remote access trojan (RAT).
Cybercriminelen integreren malware steeds vaker in bedrijfstools. Hierbij misbruiken ze betrouwbaarheidskenmerken zoals EV-certificaten. AI-tools dragen ook bij aan de snelheid waarmee cybercriminelen hun aanvallen innoveren en nog sneller uit kunnen zetten.
Verder blijkt uit het onderzoek dat:
- TrustConnect doet zich voor als legitieme IT-support software, maar opereert als een full-featured backdoor met remote desktoptoegang, het uitvoeren van opdrachten en bestandsoverdracht.
- EV-certificaten worden misbruikt, waarbij de operator een legitiem Extended Validation-certificaat ontvangt. Hiermee kan het digitaal malware ondertekenen waardoor het de securitycontroles kan omzeilen, nog voordat onderzoekers de intrekking kunnen coördineren.
- De malware wordt geleverd samen met of door legitieme tools zoals ScreenConnect en LogMeIn. Dit weerspiegelt een grote overlap met de huidige cybercriminele-infrastructuur.
- Na het verstoren van de infrastructuur, schakelt de dreigingsactor over op een nieuwe infrastructuur. Hier start het met het testen van een nieuwe versie, het zogeheten DocConnect. Dit duidt op een snel aanpassingsvermogen.
- Op basis van artefacten uit het ecosysteem en de operationele overlap concluderen onderzoekers dat de dreigingsactor eerder betrokken was bij Redline-stealeractiviteiten.
Lees ook: HarfangLab waarschuwt voor nieuwe AI-gedreven cyberrisico’s
Het verstoren van MaaS-activiteiten gaf cybercriminelen de kans om gaten in de cybercrimemarkt op te vullen. En hoewel deze verstoringen effectief zijn en de nodige kosten met zich meebrengen, blijkt dat cybercriminelen altijd zullen zoeken naar nieuwe manieren om slachtoffers te maken. TrustConnect doet zich voor als legitieme RMM, maar de lokmiddelen, aanvalsketens en vervolgpayloads (waaronder RMM’s) tonen overeenkomsten met technieken en leveringsmethoden die vaak worden waargenomen in RMM-misbruikcampagnes. Deze methode wordt door meerdere dreigingsactoren gebruikt. Daarnaast is het zeer waarschijnlijk dat zowel de TrustConnect- als de DocConnect-websites en –agents gecodeerd zijn met behulp van AI-agents. Een nieuwe versie zal aanzienlijk geavanceerder zijn. Dreigingsactoren vernieuwen hun methoden snel dankzij AI, waardoor ze momentum blijven houden. Het is daarom des te belangrijker om hierop in te spelen.
Lees voor meer informatie hier het volledig Engelstalige bericht.
Lees ook: Bijna helft (44%) van organisaties noemt cybersecurity prioriteit bij video-investeringen
Lees meer
