Įsilaužėliai nukreipia į pažeidžiamus „SimpleHelp RMM“ klientus, kad sukurtų administratoriaus paskyras, numestų užpakalinius duris ir potencialiai padėtų pagrindus išpirkos programų atakoms.
Trūkumai stebimi kaip CVE-2024-57726, CVE-2024-57727 ir CVE-2024-57728 ir buvo pranešta, kad praėjusią savaitę „Arctic Wolf“ gali aktyviai išnaudoti. Tačiau kibernetinio saugumo įmonė negalėjo tiksliai patvirtinti, ar trūkumai buvo naudojami.
Kibernetinio saugumo įmonė „Field Effect“ patvirtino „Bleepingcomputer“, kad trūkumai išnaudojami pastarojo meto atakose ir paskelbė pranešimą, kuriame paaiškinta po eksploatavimo veikla.
Be to, kibernetinio saugumo tyrėjai mini, kad pastebėta veikla turi „Akira“ išpirkos programų išpuolių požymius, nors jie neturi pakankamai įrodymų, kad galėtų priskirti didelį pasitikėjimą.
TIKRINIMAS „SimpleHelp RMM“
Išpuolis prasidėjo nuo to, kad grėsmės veikėjai išnaudojo „SimpleHelp RMM“ kliento pažeidžiamumus, kad būtų užmegztas neteisėtas ryšys su tiksline baigtimi.
Užpuoliai, prisijungę nuo IP 194.76.227 (.) 171, esančio esančio serverio, kuriame „SimpleHelp“ yra „SimpleHelp“ 80 prievade.
Kai užpuolikai buvo prijungti per RMM, užpuolikai greitai įvykdė daugybę „Discovery“ komandų, kad sužinotų daugiau apie tikslinę aplinką, įskaitant sistemos ir tinklo informaciją, vartotojus ir privilegijas, suplanuotas užduotis ir paslaugas bei domenų valdiklio informaciją.
Lauko efektas taip pat pastebėjo komandą, kurioje ieškoma „WonderStrike Falcon Security Suite“, greičiausiai apeidamas bandymas apeiti.
Pasinaudoję savo prieiga ir žiniomis, užpuolikai pradėjo sukurti naują administratoriaus sąskaitą, pavadintą „Sqladmin“, kad išlaikytų prieigą prie aplinkos, o po to įdiegė „Sliver“ po eksploatavimo sistemos (agent.exe).
„Sliver“ yra „Bishopfox“ sukurta eksploatavimo sistema, kuri per pastaruosius porą metų padidino naudojimą kaip alternatyvą kobalto streikui, kurį vis labiau nustato galutinio taško apsauga.
Diegdamas „Sliver“ prisijungs prie komandos ir valdymo serverio (C2), kad atidarytų atvirkštinį apvalkalą arba lauktų, kol komandos vykdys užkrėstą pagrindinį kompiuterį.
Atakoje stebimas šlepetės švyturys buvo sukonfigūruotas prisijungti prie C2 Nyderlanduose. Lauko efektas taip pat nustatė atsarginį IP su įjungtu nuotolinio darbalaukio protokolu (RDP).
Nustačius atkaklumą, užpuolikai gilinosi į tinklą, pakenkdami domeno valdikliui (DC), naudodami tą patį „SimpleHelp RMM“ klientą ir sukurdami kitą administratoriaus paskyrą („FPMHLTTech“).
Vietoj užpakalinio durų užpuolikai įdiegė „CloudFlare“ tunelį, paslėptą kaip „Windows SVChost.exe“, kad išlaikytų slaptą prieigos ir aplinkkelio saugos valdiklius bei ugniasienes.
Apsaugoti „SimpleHelp“ nuo išpuolių
„SimpleHelp“ vartotojams patariama pritaikyti turimus saugos atnaujinimus, kuriuose kreipiamasi CVE-2024-57726, CVE-2024-57727 ir CVE-2024-57728 kuo greičiau. Norėdami gauti daugiau informacijos, patikrinkite pardavėjo biuletenį.
Be to, ieškokite administratoriaus paskyrų, pavadintų „Sqladmin“ ir „FPMHLTTech“, ar bet kuriais kitais, kurių neatpažįstate, ir ieškokite ryšių su IPS, nurodytais lauko efekto ataskaitoje.
Galų gale vartotojai turėtų apriboti „SimpleHelp“ prieigą prie patikimų IP diapazonų, kad būtų išvengta neteisėtos prieigos.
