آزمایشگاههای تحقیقات و اطلاعات Cyble (CRIL)، یک کمپین در حال انجام به نام HeptaX توسط گروه تهدید کشف کرد که طیف گستردهای از کاربران را با استفاده از تکنیکهای ثابت برای اخذ دسترسی غیرمجاز به دسکتاپ از راه دور در سیستمهای در معرض خطر هدف قرار میداد.
زنجیره حمله پیچیده چند مرحلهای به شدت به اسکریپتهای PowerShell و BAT برای سهولت دانلود و اجرای payloadهای اضافی متکی است، که نشان دهنده ترجیح عامل تهدید (TA) برای روشهای مبتنی بر اسکریپت برای فرار از تشخیص توسط راهحلهای امنیتی سنتی است.
این حمله شامل ایجاد حساب کاربری مدیریتی بر روی سیستم قربانی و تغییر تنظیمات دسکتاپ از راه دور به منظور کاهش نیازهای احراز هویت، تسهیل دسترسی غیر مجاز RDP برای مهاجم است. کمپین مذکور، ابزار بازیابی رمز عبور معروف دیگری به نام ChromePass را به کار میگیرد که گذرواژههای ذخیره شده را از مرورگرهای مبتنی بر Chromium جمعآوری میکند و احتمال به خطر افتادن حسابهای گستردهتر را افزایش میدهد.
