Siber suçlular, ağlara sızmak, yetkisiz yönetici hesapları oluşturmak ve şerit arka kapısı da dahil olmak üzere kötü amaçlı yazılımları dağıtmak için SimpleHelp Uzaktan İzleme ve Yönetim (RMM) yazılımındaki güvenlik açıklarından aktif olarak yararlanır.
CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 olarak tanımlanan bu kusurlar, Ocak 2025’in başlarında Horizon3.AI’deki araştırmacılar tarafından açıklandı.
Yamaların mevcudiyetine rağmen, açılmamış sistemler bu sofistike saldırılara karşı savunmasız kalır.
Sömürü detayları
Güvenlik açıkları, saldırganların ayrıcalıkları yönetici seviyelerine yükseltmesine, dosya yüklemesine veya indirmesine ve yürütmesine izin verir keyfi kod.
Gözlemlenen vakalarda, saldırganlar tehlikeye atılan SimpleHelp müşterileri aracılığıyla ilk erişim elde etmek için bu kusurları kullandılar.
Gibi komutları kullanmak ipconfig Ve nltest“Sqladmin” ve “FPMHLTTECH” gibi yönetici hesapları oluşturmadan önce sistem ve ağ bilgileri topladılar.
Bu hesaplar, Sıkıştırma Sonrası Çerçeve gibi Serge gibi kötü amaçlı yüklerin kurulumunu kolaylaştırdı.
Başlangıçta penetrasyon testi için tasarlanmış açık kaynaklı bir araç olan Sliver, komut ve kontrol (C2) operasyonları için tehdit aktörleri tarafından yeniden tasarlandı.
Kötü amaçlı yazılım Estonya ve Hollanda’da barındırılan sunuculara şifrelenmiş iletişim kanalları aracılığıyla bağlanır ve çoğu güvenlik aracı tarafından tespitten kaçınır.
Ayrıca, saldırganlar, tehlikeye atılan sistemlere gizli erişimi korumak için meşru pencereler olarak gizlenmiş Cloudflare tünellerini kullandı.
Saldırı ilerlemesi
Saldırılar genellikle savunmasız uç noktalarda çalışan SimpleHelp istemcisi aracılığıyla yetkisiz erişimle başlar.
İçeri girdikten sonra, tehdit aktörleri keşif yapar, kalıcılık mekanizmaları oluşturur ve ağlar arasında yanal harekete hazırlanırlar.
Bir örnekte, saldırganlar bir etki alanı denetleyicisini (DC) hedef aldı, yeni yönetici hesapları oluşturdu ve güvenlik duvarlarını atlamak için gizlenmiş bir Cloudflare tüneli dağıttı.
Otomatik politikalar SimpleHelp yazılım sömürüsü ile ilgili şüpheli davranışları işaretleyerek hızlı müdahale ekiplerinin fidye yazılımı dağıtımının gerçekleşmesinden önce etkilenen sistemleri izole etmesini sağladı.
Bu riskleri azaltmak için, SimpleHelp RMM yazılımı kullanan kuruluşlar, 5.3.9, 5.4.10 ve 5.5.8 sürümlerinde yayınlanan güvenlik güncellemelerini derhal uygulamalıdır.
Ek önlemler şunları içerir:
- IP Whitelisting ve Çok Faktörlü Kimlik Doğrulama (MFA) uygulayarak SimpleHelp sunucularına erişimi kısıtlamak.
- Kötü niyetli IP’lere bağlantılar veya “Sqladmin” gibi yetkisiz yönetici hesaplarının varlığı gibi uzlaşma göstergelerinin (IOC’ler) aktif olarak izlenmesi.
- Saldırı yüzeylerini azaltmak için kullanılmayan SimpleHelp istemcilerini sistemlerden kaldırma.
SimpleHelp güvenlik açıklarının sömürülmesi, zamanında yama yönetimi ve proaktif tehdit tespitinin öneminin altını çizmektedir.
Bazı saldırılar Akira fidye yazılımı gibi gruplar tarafından kullanılan taktiklerle bağlantılı olsa da, çeşitli tehdit aktörleri tarafından benzer tekniklerin yaygın olarak benimsenmesi nedeniyle kesin ilişkilendirme zordur.
Field Etkisi bu kampanyayı izlemeye devam ediyor ve kuruluşlara bu güvenlik açıklarından yararlanan potansiyel takip saldırılarına karşı uyanık kalmalarını tavsiye ediyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free