Gli attori delle minacce sono stati osservati sfruttando di recente difetti di sicurezza nel software program di monitoraggio e gestione (RMM) di SimpleHelp come precursore per quello che sembra essere un attacco ransomware.
L’intrusione ha sfruttato le vulnerabilità ormai abbinate per ottenere l’accesso iniziale e mantenere un persistente accesso remoto a una rete goal non specificata, ha dichiarato Area Impact dell’azienda di sicurezza informatica in un rapporto condiviso con Hacker Information.
“L’attacco ha comportato la rapida e deliberata esecuzione di numerous tattiche, tecniche e process post-compromessi (TTP) tra cui la scoperta di rete e del sistema, la creazione di account amministratore e l’istituzione di meccanismi di persistenza, che avrebbero potuto portare alla distribuzione del ransomware” Ricercatori di sicurezza Ryan Slaney e Daniel Albrecht disse.
Le vulnerabilità in questione, CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728sono stati divulgati da Horizon3.ai il mese scorso. Lo sfruttamento riuscito dei fori di sicurezza potrebbe consentire la divulgazione delle informazioni, l’escalation dei privilegi e l’esecuzione del codice remoto.
Da allora sono stati affrontati nelle versioni SimpleHelp 5.3.9, 5.4.10 e 5.5.8 rilasciate l’8 e 13 gennaio 2025.
Semplicemente settimane dopo, ha detto l’Artico Wolf osservato Una campagna che prevedeva l’ottenimento dell’accesso non autorizzato ai dispositivi che eseguono il software program desktop remoto SimpleHelp come vettore di accesso iniziale.
Mentre non period chiaro in quel momento se queste vulnerabilità fossero state utilizzate, le ultime scoperte di Area Impact, non confermano che vengono attivamente armati come parte delle catene di attacco ransomware.
Nell’incidente analizzato dalla Canadian Cybersecurity Firm, l’accesso iniziale è stato ottenuto a un endpoint mirato tramite una vulnerabile istanza RMM SimpleHelp (“194.76.227 (.) 171”) situata in Estonia.
Dopo aver stabilito una connessione remota, è stato osservato l’attore di minaccia eseguendo una serie di azioni post-sfruttamento, tra cui le operazioni di ricognizione e scoperta, nonché creazione di un account amministratore chiamato “SQLADMIN” per facilitare lo spiegamento della supply aperta Frammento struttura.
La persistenza offerta da Sliver è stata successivamente abusata di spostarsi lateralmente attraverso la rete, stabilendo una connessione tra il controller di dominio (DC) e il consumer Susceptible SimpleHelp RMM e infine installando un tunnel CloudFlare per instradare in modo furbo il traffico verso i server sotto il controllo dell’attaccante attraverso il Net del Net Infrastruttura della società di infrastrutture.
Area Impact ha affermato che l’attacco è stato rilevato in questa fase, impedendo che si svolgesse l’esecuzione del tunnel e isolando il sistema dalla rete per garantire un ulteriore compromesso.
Nel caso in cui l’evento non sia stato contrassegnato, il tunnel di cloudflare avrebbe potuto servire come condotto per il recupero di carichi utili aggiuntivi, incluso il ransomware. La società ha affermato che le tattiche si sovrappongono a quella degli attacchi ransomware di Akira precedentemente riportato Nel maggio 2023, sebbene sia anche possibile, altri attori delle minacce abbiano adottato il marchio.
“Questa campagna dimostra solo un esempio di come gli attori delle minacce stanno sfruttando attivamente le vulnerabilità RMM di SimpleHelp per ottenere un accesso persistente non autorizzato alle reti di interesse”, hanno affermato i ricercatori. “Le organizzazioni con esposizione a queste vulnerabilità devono aggiornare i loro clienti RMM il più presto possibile e prendere in considerazione l’adozione di una soluzione di sicurezza informatica per difendersi dalle minacce”.
Lo sviluppo arriva mentre la spinta silenziosa ha rivelato che sta vedendo un aumento dell’uso del software program RMM di screenConnect su host a prova di proiettile come un modo per gli attori delle minacce per ottenere l’accesso e controllare gli endpoint delle vittime.
“I potenziali aggressori hanno utilizzato ingegneria sociale per attirare le vittime nell’installazione di copie software program legittime configurate per operare sotto il controllo dell’attore delle minacce”, la società disse. “Una volta installati, gli aggressori utilizzano l’installatore alterato per accedere rapidamente ai file della vittima.”
