Cybercriminelen misbruiken legitieme IT-beheertools voor langdurige toegang

Dit blijkt uit een analyse van KnowBe4 Threat Labs. In plaats van malware of ransomware te gebruiken, maken aanvallers misbruik van vertrouwde software die normaal gesproken door IT-beheerders wordt ingezet. Door gestolen inloggegevens te gebruiken, configureren zij deze tools zodanig dat zij ongemerkt volledige en blijvende controle over systemen verkrijgen.

Van phishingmail naar volledige systeemtoegang

De onderzochte aanval verloopt in twee fasen. Eerst ontvangen slachtoffers een overtuigende phishingmail, vermomd als een uitnodiging van Greenvelope, een legitieme dienst voor digitale uitnodigingen. Omdat de mail weinig verdachte kenmerken bevat loggen slachtoffers in op een nagemaakte website, waar hun gegevens worden buitgemaakt.

In de tweede fase gebruiken aanvallers deze gestolen inloggegevens om legitieme RMM-software te installeren, zoals GoTo Resolve en LogMeIn. Deze software is rechtsgeldig ondertekend en wordt daardoor vaak vertrouwd door beveiligingsoplossingen. Het resultaat is een persistente, moeilijk detecteerbare achterdeur met vergaande rechten binnen het netwerk.

Wat deze aanval extra gevaarlijk maakt, is dat de communicatie verloopt via de officiële infrastructuur van de RMM-leverancier. Kwaadaardig netwerkverkeer is daardoor nauwelijks te onderscheiden van normaal zakelijk gebruik.

Human Risk Management als verdediging tegen misbruik van IT-tools

De toename van dit soort aanvallen vereist een andere aanpak van gebruikersbewustzijn. Human Risk Management (HRM) combineert gedragsdata, producttelemetrie en actuele dreigingsinformatie om per medewerker een dynamisch risicoprofiel te creëren. Hiermee kunnen organisaties niet alleen technische maatregelen automatiseren, maar ook gerichte trainingen inzetten op cruciale momenten.

De meest effectieve verdediging ontstaat volgens KnowBe4 wanneer echte aanvallen, zoals de Greenvelope-campagne, worden omgezet in realistische phishing-simulaties. Zo leren medewerkers subtiele signalen herkennen en geavanceerde aanvallen sneller identificeren en rapporteren, voordat schade ontstaat.

James Dyer, Threat Intelligence Lead bij KnowBe4: “Wanneer aanvallers legitieme IT-tools misbruiken om onder de radar te blijven, is traditionele security niet genoeg. Organisaties moeten dreigingsinformatie direct vertalen naar actie: door menselijk gedrag inzichtelijk te maken, risico’s per gebruiker te prioriteren en medewerkers te trainen met realistische aanvalsscenario’s. Alleen zo blijf je deze nieuwe generatie aanvallen voor.”

Een volledige technische analyse is hier te vinden.