Dreigingsactoren zijn waargenomen om recent bekendgemaakte beveiligingsfouten in SimpleHelp’s Remote Monitoring and Management (RMM) -software als voorloper van SimpleHelp te benutten voor wat een ransomware -aanval lijkt te zijn.
De inbraak maakte gebruik van de nu afgestudeerde kwetsbaarheden om initiële toegang te krijgen en aanhoudende externe toegang te handhaven tot een niet-gespecificeerd doelnetwerk, zei Cybersecurity Company Field Effect in een rapport gedeeld met het Hacker News.
“De aanval omvatte de snelle en opzettelijke uitvoering van verschillende post-compromisse tactieken, technieken en procedures (TTP’s), waaronder netwerk- en systeemontdekking, het maken van beheerdersaccountatie en de oprichting van persistentiemechanismen, die hadden kunnen leiden tot de implementatie van ransomware,” Beveiligingsonderzoekers Ryan Slaney en Daniel Albrecht zeiden.
De kwetsbaarheden in kwestie, CVE-2024-57726, CVE-2024-57727 en CVE-2024-57728, werden vorige maand bekendgemaakt door Horizon3.AI. Succesvolle exploitatie van de beveiligingsgaten kan openbaarmaking van informatie, escalatie voor privileges en externe code -uitvoering mogelijk maken.
Ze zijn sindsdien aangepakt in SimpleHelp -versies 5.3.9, 5.4.10 en 5.5.8 vrijgegeven op 8 en 13 januari 2025.
Slechts weken later zei Arctic Wolf dat het een campagne zag waarbij het verkrijgen van ongeautoriseerde toegang tot apparaten met SimpleHelp Remote Desktop -software als een initiële toegangsvector werd verkregen.
Hoewel het op dat moment onduidelijk was als deze kwetsbaarheden werden gebruikt, bevestigen de laatste bevindingen van veldeffect alles behalve dat ze actief worden bewapend als onderdeel van ransomware -aanvalsketens.
In het incident dat werd geanalyseerd door het Canadese cybersecuritybedrijf, werd de eerste toegang verkregen tot een gericht eindpunt via een kwetsbare SimpleHelp RMM -instantie (“194.76.227 (.) 171”) in Estland.
Bij het tot stand brengen van een externe verbinding is de dreigingsacteur waargenomen bij het uitvoeren van een reeks post-exploitatie-acties, waaronder verkennings- en ontdekkingsoperaties, en het maken van een beheerdersaccount met de naam “SQLADMIN” om de implementatie van het open-source Sliver Framework te vergemakkelijken.
De door Sliver aangeboden doorzettingsvermogen werd vervolgens misbruikt om lateraal over het netwerk te bewegen, een verbinding tot stand te brengen tussen de domeincontroller (DC) en de kwetsbare SimpleHelp RMM -client en uiteindelijk een CloudFlare -tunnel installeren om het verkeer naar servers te routeren onder de controle van de aanvaller door het web Infrastructuur van infrastructuurbedrijf.
Field Effect zei dat de aanval in dit stadium werd gedetecteerd, waardoor de uitvoering van de poging tot tunnel plaatsvond en het systeem van het netwerk isoleren om verder compromis te garanderen.
In het geval dat het evenement niet was gemarkeerd, had de CloudFlare -tunnel kunnen dienen als een leiding voor het ophalen van extra payloads, waaronder ransomware. Het bedrijf zei dat de tactieken elkaar overlappen met die van Akira -ransomware -aanvallen die eerder in mei 2023 zijn gemeld, hoewel het ook mogelijk is dat andere dreigingsactoren het tradecraft hebben overgenomen.
“Deze campagne toont slechts één voorbeeld van hoe dreigingsactoren actief de kwetsbaarheden van SimpleHelp RMM exploiteren om ongeautoriseerde persistente toegang tot interesse netwerken te krijgen,” zeiden de onderzoekers. “Organisaties met blootstelling aan deze kwetsbaarheden moeten hun RMM -klanten zo snel mogelijk bijwerken en overwegen een cybersecurity -oplossing aan te nemen om zich te verdedigen tegen bedreigingen.”
De ontwikkeling komt toen Silent Push onthulde dat het een toename van het gebruik van de ScreenConnect RMM -software op kogelvrije hosts ziet als een manier voor dreigingsacteurs om eindpunten van het slachtoffer van toegang en controle te krijgen.
“Potentiële aanvallers hebben sociale engineering gebruikt om slachtoffers te lokken om legitieme softwarekopieën te installeren die zijn geconfigureerd om te werken onder controle van de dreigingsacteur,” zei het bedrijf. “Eenmaal geïnstalleerd, gebruiken de aanvallers het gewijzigde installatieprogramma om snel toegang te krijgen tot de bestanden van het slachtoffer.”
