Хакерите все по-често използват легитимен софтуер за злонамерени цели, тъй като той им дава възможност да заобиколят мерките за сигурност, сливайки се с нормалния мрежов трафик.
Според компанията за киберсигурност ReliaQuest тактиката CAMO (Commercial Applications for Malicious Operations) е била използвана в 60% от всички критични инциденти, свързани с атаки от типа Hands-On-Keyboard (когато нападателят извършва ръчно дейностите, а не използва скриптирани команди), от януари до август 2024 г. – ръст с 16% в сравнение с 2023. При нея най-често се използват основни ИТ инструменти като PDQ Deploy, софтуер за автоматично инсталиране на пачове, и решения за дистанционно наблюдение и управление като AnyDesk или ScreenConnect.
За да се предпазят, организациите трябва да:
- сегментират мрежата си чрез VLAN и DMZ;
- изготвят „бели списъци“ на приложения чрез Windows Defender Application Control (WDAC) или AppLocker;
- контролират строго използването на инструменти за автоматично инсталиране на пачове и дистанционно наблюдение и управление;
- включат осведомеността за CAMO в своите планове за реакция при инциденти, penetration тестове и оценки на риска.