Aktor -aktor ancaman telah diamati mengeksploitasi kelemahan keamanan yang baru -baru ini diungkapkan dalam perangkat lunak pemantauan dan manajemen jarak jauh SimpleHelp (RMM) sebagai pendahulu untuk apa yang tampaknya merupakan serangan ransomware.
Intrusion memanfaatkan kerentanan yang sekarang ditonton untuk mendapatkan akses awal dan mempertahankan akses jarak jauh yang persisten ke jaringan target yang tidak ditentukan, kata perusahaan cybersecurity Field Effect dalam sebuah laporan yang dibagikan dengan Hacker News.
“Serangan itu melibatkan eksekusi cepat dan disengaja dari beberapa taktik, teknik dan prosedur pasca-kompromi (TTP) termasuk penemuan jaringan dan sistem, pembuatan akun administrator, dan pembentukan mekanisme kegigihan, yang dapat menyebabkan penyebaran ransomware,” Peneliti keamanan Ryan Slaney dan Daniel Albrecht mengatakan.
Kerentanan yang dimaksud, CVE-2024-57726, CVE-2024-57727, dan CVE-2024-57728, diungkapkan oleh Horizon3.ai bulan lalu. Eksploitasi lubang keamanan yang berhasil dapat memungkinkan pengungkapan informasi, eskalasi hak istimewa, dan eksekusi kode jarak jauh.
Sejak itu mereka telah ditangani dalam versi SimpleHelp 5.3.9, 5.4.10, dan 5.5.8 dirilis pada 8 dan 13 Januari 2025.
Hanya beberapa minggu kemudian, Arktik Wolf mengatakan mengamati kampanye yang melibatkan mendapatkan akses tidak sah ke perangkat yang menjalankan perangkat lunak desktop jarak jauh SimpleHelp sebagai vektor akses awal.
Meskipun tidak jelas pada waktu itu jika kerentanan ini digunakan, temuan terbaru dari efek lapangan semua tetapi mengkonfirmasi bahwa mereka secara aktif dipersenjatai sebagai bagian dari rantai serangan ransomware.
Dalam insiden yang dianalisis oleh Canadian Cybersecurity Company, akses awal diperoleh ke titik akhir yang ditargetkan melalui instance RMM SimpleHelp yang rentan (“194.76.227[.]171 “) Terletak di Estonia.
Setelah membangun koneksi jarak jauh, aktor ancaman telah diamati melakukan serangkaian tindakan pasca-eksploitasi, termasuk operasi pengintaian dan penemuan, serta membuat akun administrator bernama “Sqladmin” untuk memfasilitasi penyebaran kerangka kerja sliver open-source.
Kegigihan yang ditawarkan oleh Sliver kemudian dilecehkan untuk bergerak secara lateral melintasi jaringan, membangun koneksi antara domain controller (DC) dan klien RMM sederhana yang rentan dan akhirnya memasang terowongan cloudflare untuk secara diam -diam merutekan lalu lintas ke server di bawah kendali penyerang melalui web Infrastruktur Perusahaan Infrastruktur.
Efek lapangan mengatakan serangan itu terdeteksi pada tahap ini, mencegah upaya eksekusi terowongan yang terjadi dan mengisolasi sistem dari jaringan untuk memastikan kompromi lebih lanjut.
Jika acara tersebut tidak ditandai, terowongan Cloudflare bisa berfungsi sebagai saluran untuk mengambil muatan tambahan, termasuk ransomware. Perusahaan mengatakan taktik itu tumpang tindih dengan serangan akira ransomware yang sebelumnya dilaporkan pada Mei 2023, meskipun mungkin juga kemungkinan aktor ancaman lainnya telah mengadopsi tradecraft.
“Kampanye ini menunjukkan hanya satu contoh bagaimana aktor ancaman secara aktif mengeksploitasi kerentanan SimpleHelp RMM untuk mendapatkan akses terus -menerus yang tidak sah ke jaringan yang diminati,” kata para peneliti. “Organisasi dengan paparan kerentanan ini harus memperbarui klien RMM mereka sesegera mungkin dan mempertimbangkan mengadopsi solusi keamanan siber untuk mempertahankan terhadap ancaman.”
Pengembangan datang sebagai dorongan diam mengungkapkan bahwa ia melihat peningkatan penggunaan perangkat lunak RMM screenconnect pada host anti peluru sebagai cara bagi aktor ancaman untuk mendapatkan akses dan mengendalikan titik akhir korban.
“Potongan potensial telah menggunakan rekayasa sosial untuk memikat para korban agar memasang salinan perangkat lunak yang sah yang dikonfigurasi untuk beroperasi di bawah kendali aktor ancaman,” kata perusahaan itu. “Setelah diinstal, para penyerang menggunakan penginstal yang diubah untuk dengan cepat mendapatkan akses ke file korban.”
