Cybercriminelen maken steeds vaker misbruik van legitieme RMM-tools. Dankzij zulke Remote Monitoring and Management-tools kunnen ze langdurige toegang tot bedrijfsnetwerken verkrijgen. KnowBe4 Threat Labs ontdekte een geavanceerde aanvalscampagne waarbij vertrouwde IT-beheersoftware wordt ingezet als permanente achterdeur.
In plaats van traditionele malware zetten aanvallers bewust software in die normaal door IT-beheerders wordt gebruikt. Na het stelen van inloggegevens configureren zij RMM-tools zoals GoTo Resolve en LogMeIn. Zo krijgen ze ongemerkt volledige controle over systemen. Dit blijkt uit onderzoek van KnowBe4 Threat Labs.
De aanval verloopt in twee duidelijke fases. Zo ontvangen slachtoffers eerst een phishingmail, vermomd als uitnodiging van Greenvelope. Dat is een legitieme dienst voor digitale uitnodigingen. Omdat de mail nauwelijks verdachte signalen bevat, loggen gebruikers in op een nagemaakte website waardoor hun gegevens worden buitgemaakt.
Legitieme software als wapen
In de tweede fase installeren aanvallers met de gestolen credentials legitieme RMM-software op systemen. Die tools worden vaak digitaal ondertekend door de leverancier en worden daarom vaak vertrouwd door beveiligingsoplossingen. Het resultaat is een nauwelijks detecteerbare achterdeur met vergaande rechten binnen het netwerk.
Wat deze aanval extra gevaarlijk maakt is dat communicatie verloopt via de officiële infrastructuur van de RMM-leverancier. Kwaadaardig netwerkverkeer is daardoor vrijwel niet te onderscheiden van regulier zakelijk gebruik. Deze Skeleton Key-campagne past in een bredere trend waarbij zulke tools sinds 2024 dominant zijn geworden in aanvalsstrategieën.
Human Risk Management als oplossing
Tegen dit soort aanvallen helpt de traditionele aanpak niet meer. Er moet gekeken worden naar hoe gebruikers het beste getraind kunnen worden. Dankzij Human Risk Management (HRM) worden dreigingsonderzoek en bewustzijn samengebracht. Door data over gedrag en systemen continu te analyseren, wordt er voor elke medewerker een actueel en persoonlijk risicoprofiel opgesteld.
Organisaties kunnen daarmee niet alleen technische maatregelen automatiseren, maar ook gerichte, training inzetten op het moment dat het ertoe doet. De meest effectieve verdediging ontstaat wanneer echte aanvallen, zoals de Greenvelope-campagne, worden omgezet in realistische phishing-simulaties.
“Wanneer aanvallers legitieme IT-tools misbruiken om onder de radar te blijven, is traditionele beveiliging niet genoeg”, aldus James Dyer, Threat Intelligence Lead bij KnowBe4. “Organisaties moeten dreigingsinformatie direct vertalen naar actie: door menselijk gedrag inzichtelijk te maken, risico’s per gebruiker te prioriteren en medewerkers te trainen met realistische aanvalsscenario’s.”