Cybercriminelen zetten steeds vaker legitieme IT-beheertools in om langdurige en nauwelijks zichtbare toegang tot netwerken te krijgen. Dat stelt KnowBe4 Threat Labs op basis van nieuw onderzoek naar een aanvalscampagne waarbij Remote Monitoring and Management-software wordt misbruikt als permanente achterdeur.
De analyse beschrijft een campagne waarin aanvallers bewust afzien van klassieke malware of ransomware. In plaats daarvan gebruiken zij RMM-tools die normaal gesproken onderdeel zijn van regulier IT-beheer. Na het buitmaken van geldige inloggegevens installeren zij deze software zodanig dat volledige en blijvende controle ontstaat, zonder direct op te vallen bij beveiligingsoplossingen.
De aanval start met een gerichte phishingmail die is vermomd als uitnodiging van Greenvelope, een legitieme dienst voor digitale uitnodigingen. De berichten bevatten weinig verdachte kenmerken en leiden slachtoffers naar een nagemaakte inlogpagina. Daar worden accountgegevens onderschept. Met deze geldige credentials loggen aanvallers vervolgens in en installeren zij RMM-software zoals GoTo Resolve en LogMeIn.
Volgens de onderzoekers vormt juist dat tweede deel van de aanval een belangrijk probleem. De gebruikte software is rechtsgeldig ondertekend door de leverancier en maakt gebruik van de officiële infrastructuur van die partijen. Verkeer dat hierdoor ontstaat, wijkt nauwelijks af van regulier beheer en wordt daardoor vaak niet als verdacht aangemerkt. Het resultaat is een persistente toegang met vergaande rechten binnen het netwerk, zonder duidelijke alarmsignalen.
KnowBe4 plaatst de bevindingen in een bredere ontwikkeling waarin aanvallers steeds vaker vertrouwen op living-off-the-land-technieken. Daarbij worden bestaande, vertrouwde tools ingezet om detectie te vermijden en de verblijfsduur in een netwerk te verlengen. RMM-software is daarbij aantrekkelijk, omdat deze standaard is ontworpen voor permanente toegang en beheer op afstand.
Het bedrijf stelt dat deze aanpak vraagt om een andere kijk op beveiliging, waarin gebruikersgedrag een centralere rol krijgt. Onder de noemer Human Risk Management combineert KnowBe4 gedragsdata, telemetrie en actuele dreigingsinformatie om per medewerker een dynamisch risicoprofiel op te bouwen. Op basis daarvan kunnen maatregelen en training gerichter worden ingezet.
Een belangrijk element daarbij is het vertalen van echte aanvalscampagnes naar realistische, maar onschadelijke simulaties. Door medewerkers bloot te stellen aan aanvallen die sterk lijken op actuele dreigingen, zoals de Greenvelope-campagne, ontstaat volgens het bedrijf meer aandacht voor subtiele signalen die bij traditionele phishingtraining vaak ontbreken.
James Dyer, Threat Intelligence Lead bij KnowBe4, stelt dat het misbruik van legitieme IT-tools traditionele beveiligingsmodellen onder druk zet. Volgens hem ontstaat effectieve verdediging pas wanneer dreigingsinformatie direct wordt gekoppeld aan concreet gebruikersgedrag en training, in plaats van uitsluitend aan technische detectie.
