Egy közelmúltbeli biztonsági incidens vizsgálata során az NCC Group digitális kriminalisztikai és incidenskezelési (DFIR) csapata egy rendkívül gyors és kifinomult social engineering támadásra hívta fel a figyelmet, amely során a támadók kevesebb mint öt perc alatt vették át az irányítást egy vállalati hálózat felett. A támadás kiindulópontja az volt, hogy az elkövetők IT-támogatónak adták ki magukat, és célzottan körülbelül húsz alkalmazottat kerestek meg. Két felhasználót sikerült is megtéveszteniük: ők engedélyezték a távoli hozzáférést a munkaállomásaikhoz a Windows beépített QuickAssist nevű távoli támogatási eszközén keresztül.
Miután a támadók hozzáférést kaptak, rendkívüli gyorsasággal és precizitással kezdtek tevékenykedni. PowerShell parancsokat futtattak, amelyekkel rosszindulatú programokat töltöttek le, például rendszergazdai eszközként álcázott fájlokat, köztük egy rejtett kártékony JPEG-képet is. A NetSupport Manager nevű, legitim adminisztrációs szoftvert is telepítették, amelyet ezúttal jogosulatlan hozzáférésre használtak fel.
A támadók rejtett könyvtárstruktúrát hoztak létre az application data mappában, és a malware-hez automatikus indítást konfiguráltak a rendszer újraindítása esetére. Többféle mechanizmust alkalmaztak: registry bejegyzések, időzített feladatok, valamint hitelesítési adatok ellopására szolgáló hamis bejelentkező ablakok is részei voltak a támadásnak.
Különösen aggasztó, hogy a támadók teljes mértékben legitim eszközöket használtak – például a QuickAssist-ot – amely jelentősen megnehezíti a támadás észlelését.
A szakértők arra figyelmeztetnek, hogy az emberi tényező továbbra is a leggyengébb láncszem az információbiztonságban. Az ilyen támadások megelőzésére elengedhetetlen a többlépcsős hitelesítés használata, a munkatársak rendszeres kiberbiztonsági képzése, valamint fejlett végpontvédelmi rendszerek alkalmazása, amelyek képesek azonosítani a gyanús PowerShell-tevékenységet és a nem hivatalos távoli hozzáférést biztosító eszközöket.
Ez az eset is jól mutatja: a modern kibertámadások nem napok, hanem percek alatt történnek és súlyos következményekkel járhatnak.
