黑客正在针对存在漏洞的 SimpleHelp RMM 客户端,创建管理员账户、植入后门,并可能为勒索软件攻击铺路。
这些漏洞被追踪为 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728,Arctic Wolf 上周报告称这些漏洞可能正在被积极利用。然而,这家网络安全公司无法确定这些漏洞是否确实被利用。
网络安全公司 Field Effect 已确认这些漏洞在最近的攻击中被利用,并发布了一份报告,揭示了漏洞利用后的活动细节。
此外,网络安全研究人员提到,观察到的活动有 Akira 勒索软件攻击的迹象,尽管他们没有足够的证据进行高置信度的归因。
针对 SimpleHelp RMM 的攻击
攻击始于威胁行为者利用 SimpleHelp RMM 客户端中的漏洞,建立与目标终端的未经授权连接。
攻击者从 IP 地址 194.76.227[.]171 连接,这是一台位于爱沙尼亚的服务器,在 80 端口上运行 SimpleHelp 实例。
一旦通过 RMM 连接,攻击者迅速执行一系列发现命令,以了解更多关于目标环境的信息,包括系统和网络详细信息、用户和权限、计划任务和服务以及域控制器信息。Field Effect 还观察到一个搜索 CrowdStrike Falcon 安全套件的命令,可能是绕过尝试。
利用他们的访问权限和知识,攻击者随后创建了一个名为 “sqladmin” 的新管理员账户,以保持对环境的访问,接着安装了 Sliver 后利用框架(agent.exe)。
Sliver 是 BishopFox 开发的后利用框架,过去几年中作为 Cobalt Strike 的替代品使用,后者越来越多地被终端保护检测到。
部署后,Sliver 会连接回命令和控制服务器(C2),打开反向 shell 或等待在受感染主机上执行命令。
在攻击中观察到的 Sliver 信标被配置为连接到荷兰的 C2。Field Effect 还识别了一个启用了远程桌面协议(RDP)的备用 IP。
建立持久性后,攻击者通过使用相同的 SimpleHelp RMM 客户端深入网络,攻陷域控制器(DC),并创建另一个管理员账户(“fpmhlttech”)。
攻击者没有植入后门,而是安装了一个伪装成 Windows svchost.exe 的 Cloudflare Tunnel,以保持隐蔽访问并绕过安全控制和防火墙。
SimpleHelp 用户被建议尽快应用可用的安全更新,以解决 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728。更多信息,请查看供应商公告。
此外,查找名为 “sqladmin” 和 “fpmhlttech” 的管理员账户,或任何你不认识的账户,并查找 Field Effect 报告中列出的 IP 地址的连接。
最终,用户应将 SimpleHelp 访问限制在受信任的 IP 范围内,以防止未经授权的访问。
发表评论