受损的MDM服务器成为广泛恶意软件活动的向量
攻击者最近损害了超过75%的跨国公司移动的安全研究人员透露,具有Cerberus Android银行木马的新型设备。
根据一个人,在通过移动设备管理器(MDM)服务器进入公司网络后,Miscreants偷走了密码和2FA凭据。博客文章由Check Point于4月29日发布。
在2月18日检测到感染后,网络安全公司的研究人员发现,许多设备缺乏设备网络保护(ONP),这使攻击者能够远程控制设备和访问网络资源。
他们还发现新的恶意软件Variant具有移动远程访问Trojan(MRAT)功能,例如按键记录,SMS窃取,Google Authenticator数据截距,甚至可以通过TeamViewer远程命令设备的能力。
恶意软件即服务
第一的2019年6月的新兴Cerberus凭借自己的Twitter帐户,是一种恶意软件,即服务(MAAS)平台,这意味着可能的攻击者可以自定义自己的有效载荷以订阅费。
新变体包括主应用程序和从远程命令和控制(C&C)服务器接收到有效载荷的DEX文件。
攻击者使用的C&C服务器仅是HTTP,没有主机名,它是从俄罗斯IP地址运行的。
从感染的迅速传播中,八名研究人员的团队从理论上使繁殖是自动化的,恶意软件要么横向或通过客户的MDM移动。后来,客户确认后者是真的。
这是检查点研究人员第一次看到MDM服务器,该服务器通常用于远程配置和应用程序更新,用作移动恶意软件的攻击向量。
Check Point说:“ MDM最突出的功能,可以说是其存在的原因,也是其阿喀琉斯的脚跟 - 整个移动网络的一个中央控制权。”
“如果该平台受到破坏,整个移动网络也是如此。”
昂贵的教训
为了消除所有恶意软件的追踪,受害者公司应用了公司范围内的设备重置 - 鉴于需要损害评估并随后重新建立整个移动网络,这是“极为昂贵”的练习。
研究人员说,如果ONS被普遍激活,那么“与C&C的所有通信都可以被阻止”。
他们得出的结论是,该事件强调了区分管理和保护移动设备的重要性。
Check Point解释说:“管理移动设备意味着安装应用程序,配置设置以及一次在多个设备上应用策略。”“确保移动设备意味着保护其免受恶意软件威胁和攻击。”
他们补充说:“移动设备是我们工作方式,沟通方式和业务运作方式的组成部分。在提供诱人的目标时,他们需要受到任何其他端点的保护。”
