Hackers στοχεύουν ευάλωτους SimpleHelp RMM clients για να δημιουργήσουν λογαριασμούς διαχειριστή, να εγκαταστήσουν backdoors και το Sliver malware και ενδεχομένως να θέσουν τις βάσεις για επιθέσεις ransomware.
Την περασμένη εβδομάδα, η Arctic Wolf ανέφερε ότι οι ευπάθειες που παρακολουθούνται ως CVE-2024-57726, CVE-2024-57727 και CVE-2024-57728 χρησιμοποιήθηκαν σε επιθέσεις. Ωστόσο, η εταιρεία κυβερνοασφάλειας δεν μπορούσε να πει με βεβαιότητα εάν χρησιμοποιήθηκαν για τις συγκεκριμένες επιθέσεις. Η εταιρεία κυβερνοασφάλειας Field Effect φέρεται να επιβεβαίωσε στο BleepingComputer ότι τα σφάλματα αξιοποιούνται σε πρόσφατες επιθέσεις και δημοσίευσε μια έκθεση που ρίχνει φως στη δραστηριότητα μετά την εκμετάλλευση.
Δείτε επίσης: Κρίσιμη ευπάθεια του Microsoft Outlook χρησιμοποιείται σε επιθέσεις
Επιπλέον, ερευνητές κυβερνοασφάλειας αναφέρουν ότι η παρατηρούμενη δραστηριότητα έχει στοιχεία που δείχνουν κάποια ομοιότητα με επιθέσεις από τη ransomware ομάδα Akira, αλλά ούτε αυτό είναι σίγουρο.
Στόχευση SimpleHelp RMM
Η επίθεση ξεκίνησε με τους επιτιθέμενους να εκμεταλλεύονται ευπάθειες στον SimpleHelp RMM client για να δημιουργήσουν μια μη εξουσιοδοτημένη σύνδεση σε ένα τελικό σημείο στόχου.
Οι εισβολείς συνδέθηκαν από το IP 194.76.227[.]171, έναν διακομιστή στην Εσθονία που εκτελεί SimpleHelp instance στη θύρα 80.
Μετά τη σύνδεση μέσω RMM, οι εισβολείς εκτέλεσαν γρήγορα μια σειρά από εντολές εντοπισμού για να μάθουν περισσότερα για το περιβάλλον στόχο (π.χ. στοιχεία συστήματος και δικτύου, χρήστες και προνόμια, scheduled tasks και υπηρεσίες και πληροφορίες domain controller).
Ερευνητές ασφαλείας παρατήρησαν, επίσης, μια εντολή για αναζήτηση του CrowdStrike Falcon security suite (πιθανότατα μια απόπειρα παράκαμψης).
Αργότερα, οι εισβολείς προχώρησαν στη δημιουργία ενός νέου λογαριασμού διαχειριστή με το όνομα “sqladmin” για να διατηρήσουν την πρόσβαση στο περιβάλλον και, στη συνέχεια, εγκατέστησαν το Sliver post-exploitation framework (agent.exe).
Δείτε επίσης: Πολλαπλές ευπάθειες στο Cisco SNMP επιτρέπουν επιθέσεις DoS
Το Sliver αναπτύχθηκε από την BishopFox και χρησιμοποιείται συχνά, τώρα τελευταία, ως εναλλακτική του Cobalt Strike.
Όταν αναπτυχθεί, το Sliver θα συνδεθεί ξανά σε έναν διακομιστή εντολών και ελέγχου (C2) για να ανοίξει ένα reverse shell ή να περιμένει να εκτελεστούν οι εντολές στον μολυσμένο κεντρικό υπολογιστή.
Το Silver beacon, στη συγκεκριμένη επίθεση, συνδέθηκε με ένα C2 στην Ολλανδία.
Έχοντας εξασφαλίσει persistence, οι εισβολείς προχώρησαν βαθύτερα στο δίκτυο, παραβιάζοντας το Domain Controller, χρησιμοποιώντας τον ίδιο SimpleHelp RMM client και δημιουργώντας έναν άλλο λογαριασμό διαχειριστή (“fpmhlttech”).
Αντί για backdoor, οι εισβολείς εγκατέστησαν ένα Cloudflare Tunnel μεταμφιεσμένο σε Windows svchost.exe για να διατηρήσουν κρυφή πρόσβαση και να παρακάμψουν τους ελέγχους ασφαλείας και τα τείχη προστασίας.
Προστασία SimpleHelp
Για να προστατευτούν από τέτοιες επιθέσεις, οι χρήστες του SimpleHelp καλούνται να εφαρμόσουν τις διαθέσιμες ενημερώσεις ασφαλείας για τις ευπάθειες CVE-2024-57726, CVE-2024-57727 και CVE-2024-57728. Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο του προμηθευτή.
Δείτε επίσης: Η CISA πρόσθεσε ευπάθεια του Linux kernel στον Κατάλογο KEV
Επιπλέον, αναζητήστε λογαριασμούς διαχειριστή με το όνομα “sqladmin” και “fpmhlttech” ή οποιονδήποτε άλλο άγνωστο λογαριασμό και αναζητήστε συνδέσεις με τις IP που αναφέρονται στην αναφορά Field Effect.
Τέλος, είναι σημαντικό να περιοριστεί η πρόσβαση SimpleHelp σε αξιόπιστα IP ranges.
Οι πρόσφατες ευπάθειες της SimpleHelp χρησιμεύουν ως υπενθύμιση της σημασίας της ασφάλειας των εργαλείων RMM και της εφαρμογής κατάλληλων πρωτοκόλλων ασφάλειας στον κυβερνοχώρο. Με την αυξανόμενη εξάρτηση από αυτά τα εργαλεία και την αυξανόμενη πολυπλοκότητα των απειλών στον κυβερνοχώρο, οι οργανισμοί πρέπει να δώσουν προτεραιότητα στην προστασία των συστημάτων τους και στη διατήρηση μιας ισχυρής θέσης ασφαλείας για προστασία από πιθανές εκμεταλλεύσεις.
Παραμένοντας σε επαγρύπνηση και αξιολογώντας και αντιμετωπίζοντας τυχόν τρωτά σημεία στα εργαλεία RMM τους, οι οργανισμοί μπορούν να μετριάσουν τον κίνδυνο να πέσουν θύματα παρόμοιων επιθέσεων στο μέλλον.
Πηγή: www.bleepingcomputer.com
