Cybercriminelen maken steeds vaker gebruik van legitieme remote monitoring- en managementtools om traditionele malwarebeveiliging te omzeilen. KnowBe4 Threat Labs waarschuwt voor de Skeleton Key-campagne, waarbij aanvallers vertrouwde IT-software kapen in plaats van eigen malware te ontwikkelen. Deze campagne toont een trend waarin bestaande bedrijfssoftware wordt hergebruikt in plaats van nieuwe malware te maken. Aanvallers verkrijgen toegang door gebruikersgegevens te compromitteren en remote access-tools om te vormen tot verborgen toegangspunten. De aanval verloopt in twee fasen: eerst worden inloggegevens verzameld, daarna worden systemen gecompromitteerd. Slachtoffers ontvangen phishing-e-mails die zich voordoen als uitnodigingen van Greenvelope, een dienst voor zakelijke evenementen. Wie klikt, komt op een valse inlogpagina terecht die gegevens steelt terwijl de echte dienst wordt nagebootst.

Met gestolen inloggegevens genereren aanvallers legitieme toegangstokens voor remote monitoring- en managementplatforms. Een bestand genaamd "GreenVelopeCard.exe" installeert tools zoals GoTo Resolve en LogMeIn, waardoor kwaadaardige activiteiten opgaan in normaal bedrijfsverkeer en detectie wordt vermeden. KnowBe4 ontdekte dat de dropper een configuratiebestand bevat dat RMM-software stil laat installeren, verbinding maakt met door aanvallers gecontroleerde accounts en volledige remote control-mogelijkheden biedt. Door gebruik te maken van officieel ondertekende software en productie-infrastructuur, blijven aanvallers onopgemerkt en lijken hun activiteiten op legitieme IT-operaties. Voor persistentie manipuleren aanvallers het register, misbruiken ze Windows-services en zetten ze verborgen geplande taken in. Zelfs als beheerders de activiteit detecteren en proberen te stoppen, blijft de remote access behouden. Kwaadaardig verkeer wordt via de officiële infrastructuur van GoTo met versleutelde HTTPS gerouteerd, waardoor het onopgemerkt blijft. KnowBe4 stelt dat organisaties hun verdedigingsstrategie moeten herzien en moeten letten op abnormaal gebruik van legitieme tools, ongeautoriseerde RMM-implementaties en verdachte identiteitsactiviteiten. Alleen focussen op malwaredetectie is niet meer voldoende.