Prijetnje su primijećene u iskorištavanju nedavno otkrivenih sigurnosnih ranjivosti u SimpleHelp Remote Monitoring and Management (RMM) softveru kao preteča onoga što se čini napadom ransomware-a.
Upad je iskoristio sada ispravljene ranjivosti kako bi dobio početni pristup i održao stalni daljinski pristup nespecificiranoj mreži cilja, navodi se u izvještaju koji je podijelila cyber sigurnosna kompanija Field Effect sa The Hacker News.
„Napad je uključivao brzo i namjerno izvršavanje nekoliko taktika, tehnika i procedura (TTPs) nakon kompromitacije, uključujući otkrivanje mreže i sistema, kreiranje administratorskih računa i uspostavljanje mehanizama za postojanost, što je moglo dovesti do implementacije ransomware-a“, rekli su sigurnosni istraživači Ryan Slaney i Daniel Albrecht.
Ranjivosti o kojima se radi, CVE-2024-57726, CVE-2024-57727 i CVE-2024-57728, otkrivene su od strane Horizon3.ai prošlog mjeseca. Uspješno iskorištavanje sigurnosnih rupa moglo bi omogućiti otkrivanje informacija, eskalaciju privilegija i daljinsko izvršavanje koda.
Ove ranjivosti su naknadno ispravljene u verzijama SimpleHelp-a 5.3.9, 5.4.10 i 5.5.8, koje su izdane 8. i 13. januara 2025.
Samo nekoliko sedmica kasnije, Arctic Wolf je obajvestio o kampanji koja je uključivala neovlašteni pristup uređajima koji koriste SimpleHelp softver za daljinsko upravljanje kao početni vektor pristupa.
Iako tada nije bilo jasno da li su ove ranjivosti iskorištene, najnoviji nalazi Field Effect gotovo potvrđuju da su aktivno oružane kao dio lanca napada ransomware-a.
U incidentu analiziranom od strane kanadske cyber sigurnosne kompanije, početni pristup je stečen do ciljanog krajnjeg uređaja putem ranjive SimpleHelp RMM instance („194.76.227[.]171“) smještene u Estoniji.
Nakon uspostavljanja daljinske veze, primijećeno je da napadači izvode niz post-eksploatacijskih radnji, uključujući izviđanje i operacije otkrivanja, kao i kreiranje administratorskog računa pod nazivom „sqladmin“ kako bi omogućili implementaciju open-source Sliver okvira.
Postojanost koju je ponudio Sliver naknadno je iskorištavaza lateralno kretanje unutar mreže, uspostavljajući vezu između kontrolera domena (DC) i ranjivog SimpleHelp RMM klijenta, te na kraju instalirajući Cloudflare tunnel kako bi prikrili promet prema serverima pod kontrolom napadača putem infrastrukture web kompanije.
Field Effect je obavjestio da je napad otkriven u ovoj fazi, što je spriječilo izvršenje pokušaja tunela i izolovao sistem od mreže kako bi se osigurao daljnji kompromitiranost.
U slučaju da događaj nije bio označen, Cloudflare tunnel mogao je poslužiti kao kanal za preuzimanje dodatnih payload-a, uključujući ransomware. Kompanija je napomenula da taktike preklapaju s onima korištenim u napadima Akira ransomware-a koji su ranije prijavljeni u maju 2023, iako je takođe moguće da su i drugi prijetnji preuzeli ovu taktiku.
„Ova kampanja pokazala samo jedan primjer kako prijetnje aktivno iskorištavaju SimpleHelp RMM ranjivosti kako bi dobile neovlašteni stalni pristup mrežama od interesa“, rekli su istraživači. „Organizacije koje su izložene ovim ranjivostima moraju što prije ažurirati svoje RMM klijente i razmisliti o uvođenju rješenja za cyber sigurnost kako bi se obranile od prijetnji.“
Ovaj razvoj dolazi u isto vrijeme kada je Silent Push otkrio da bilježi porast u korištenju ScreenConnect RMM softvera na “bulletproof” hostovima kao način za prijetnje da dođu do pristupa i kontrole nad žrtvinim uređajima.
„Potencijalni napadači koristili su socijalni inžinjering kako bi namamili žrtve da instaliraju legitimne kopije softvera konfigurisane za rad pod kontrolom napadača“, rekla je kompanija. „Nakon instalacije, napadači koriste izmijenjeni instalater kako bi brzo dobili pristup fajlovima žrtve.“
