Siber güvenlik araştırmacıları, SimpleHelp Uzaktan İzleme ve Yönetim (RMM) sistemlerindeki eşleştirilmemiş güvenlik açıkları aracılığıyla yardımcı faturalandırma yazılımı sağlayıcılarını hedefleyen sofistike bir fidye yazılımı kampanyası ortaya çıkardılar.
Saldırı, tehdit aktörlerinin kritik altyapı ağlarında kalıcı dayanaklar oluşturmak için güvenilir uzaktan erişim araçlarından yararlandığı ve daha sonra tedarik zinciri sızması yoluyla aşağı akış müşterilerini tehlikeye attığı fidye yazılımı taktiklerinde ilgili bir evrimi temsil ediyor.
Kampanya, saldırganların kimlik doğrulama mekanizmalarını atlamasına ve uzak sistemlere yetkisiz erişim kazanmasına izin veren SimpleHelp sürümlerinde bulunan bir yol geçiş güvenlik açığı olan CVE-2024-57727’den yararlanıyor.
.png
)
Güvenlik araştırmacıları, Ocak 2025’ten bu yana, fidye yazılımı gruplarının birden fazla sektörde savunmasız RMM dağıtımlarını tanımlama ve tehlikeye atma çabalarını gösteren, eşleşmemiş basit basit help örneklerine sahip kuruluşları hedefleyen bir sömürü denemesi paterni gözlemlediler.
CISA analistleri, kritik altyapı operatörleri ve son müşteriler arasında aracılar görevi gören faturalandırma yazılımı sağlayıcılarına odaklanması nedeniyle bu tehdidi özellikle tehlikeli olarak tanımladılar.
Fidye yazılımı aktörleri çift gasp taktikleri kullanıyor, veri şifrelemesini hassas müşteri bilgilerini sızmak için tehditlerle birleştiriyor ve her başarılı uzlaşmanın etkisini etkili bir şekilde çoğaltıyor.
Siber Güvenlik ve Altyapı Güvenlik Ajansı, 13 Şubat 2025’te bilinen sömürülen güvenlik açıkları kataloğuna CVE-2024-57727 ekledi ve vahşi doğada bu kırılganlığın aktif olarak sömürülmesini vurguladı.
Bu kampanyadan etkilenen kuruluşlar, faturalandırma yazılımı sağlayıcılarının uzlaşması tüm müşteri ağları aracılığıyla basamaklı olabileceğinden önemli operasyonel aksamalarla karşı karşıyadır.
Saldırganlar, müşteri ortamlarına dönüşmek ve aynı anda birden fazla kuruluşta fidye yazılımı yüklerini dağıtmak için RMM sistemleri aracılığıyla ilk erişimi kullanarak tedarik zinciri ilişkileri hakkında sofistike bir anlayış gösterir.
Teknik analiz, tehlikeye atılan sistemlerin genellikle Ocak 2025’ten sonra oluşturulan ve potansiyel ihlal aktivitesinin göstergeleri olarak hizmet veren üç harfli alfabetik dosya adlarına sahip şüpheli yürütülebilir ürünler içerdiğini ortaya koymaktadır.
Teknik sömürü mekanizması
Güvenlik açığı sömürü süreci, internete maruz kalan SimpleHelp sunucularını tarayan ve HTTP sorguları aracılığıyla savunmasız sürümleri belirleyen saldırganlarla başlar. /allversions uç nokta.
Savunmasız örnekler bulunduktan sonra, tehdit aktörleri, şu adreste bulunan sunucu yapılandırma dosyasına erişmek için yol geçiş güvenlik açığından yararlanır. /SimpleHelp/configuration/serverconfig.xmlsürüm ayrıntıları ve ağ yapılandırmaları dahil kritik sistem bilgileri içerir.
Saldırganlar daha sonra idari erişim elde etmek için güvenlik açığından yararlanır ve bu da dahil olmak üzere belirli dizinleri hedefleyerek uç nokta sistemlerinde uzaktan erişim hizmetlerini dağıtmalarına izin verir. %APPDATA%\JWrapper-Remote Access pencerelerde, /opt/JWrapper-Remote Access Linux’ta ve /Library/Application Support/JWrapper-Remote Access macOS platformlarında.
Bu çok platform yaklaşımı, çeşitli organizasyonel ortamlarda geniş uyumluluk sağlarken, serviceconfig.xml Dosya JWAppsSharedConfig Dizin, daha sonraki fidye yazılımı dağıtım ve veri eksfiltrasyon işlemleri için uzun vadeli ağ varlığını kolaylaştırarak kayıtlı sunucu bağlantıları aracılığıyla kalıcı uzaktan erişim sağlar.
Herhangi biriyle tehdit tepkisini otomatikleştirin. -> Tam erişim isteyin