Bilgisayar korsanları, yönetici hesapları oluşturmaları, geri çekilmeleri ve potansiyel olarak fidye yazılımı saldırılarının temelini oluşturmaları için savunmasız SimpleHelp RMM istemcilerini hedefliyor.
Kusurlar CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 olarak izlenir ve geçen hafta Arktik Kurt tarafından potansiyel olarak aktif olarak sömürüldüğü bildirilmiştir. Ancak, siber güvenlik firması kusurların kullanılıp kullanılmadığından emin olamadı.
Siber güvenlik firması Field Effect, BleepingComputer’a kusurların son saldırılarda kullanıldığını doğruladı ve sömürme sonrası etkinliğe ışık tutan bir rapor yayınladı.
Buna ek olarak, siber güvenlik araştırmacıları, gözlemlenen faaliyetin Akira fidye yazılımı saldırılarının belirtileri olduğunu, ancak yüksek güven atıfta bulunacak kadar kanıt bulunmadığını belirtmektedir.
SimpleHelp RMM’yi hedefleme
Saldırı, bir hedef uç noktaya yetkisiz bir bağlantı kurmak için SimpleHelp RMM istemcisindeki güvenlik açıklarından yararlanan tehdit aktörleriyle başladı.
IP’den bağlı saldırganlar 194.76.227[.]171, Estonya tabanlı bir sunucu, 80 numaralı bağlantı noktasında SimpleHelp örneği çalıştırıyor.
RMM yoluyla bağlandıktan sonra, saldırganlar, sistem ve ağ detayları, kullanıcılar ve ayrıcalıklar, planlanan görevler ve hizmetler ve alan denetleyici bilgileri dahil olmak üzere hedef ortam hakkında daha fazla bilgi edinmek için bir dizi keşif komutu gerçekleştirdiler.
Field Effect ayrıca Crowdstrike Falcon Security Suite’i arayan bir komutu da gözlemledi, muhtemelen bir bypass girişimi baypas.
Erişim ve bilgilerlerinden yararlanan saldırganlar daha sonra çevreye erişimi korumak için “Sqladmin” adlı yeni bir yönetici hesabı oluşturmaya devam ettiler ve ardından Sömürme Sonrası Çerçevesi (Agent.EXE) yüklemesi izledi.
Sliver, Bishopfox tarafından geliştirilen ve son birkaç yıl içinde, uç nokta koruması ile giderek daha fazla tespit edilen kobalt grevine alternatif olarak artan kullanım gören bir sömürme sonrası çerçevedir.
Dağıtıldığında, Sliver bir ters kabuk açmak veya enfekte ana bilgisayarda komutların yürütülmesini beklemek için bir komut ve kontrol sunucusuna (C2) geri dönecektir.
Saldırıda gözlemlenen şerit işareti, Hollanda’daki bir C2’ye bağlanacak şekilde yapılandırıldı. Alan efekti ayrıca uzak masaüstü protokolü (RDP) etkin bir yedek IP tanımladı.
Kalıcılık kurulduğunda, saldırganlar aynı SimpleHelp RMM istemcisini kullanarak ve başka bir yönetici hesabı (“fpmhlttech”) oluşturarak etki alanı denetleyicisini (DC) tehlikeye atarak ağın derinliklerine doğru hareket ettiler.
Saldırganlar, arka kapı yerine, gizli erişimi korumak ve güvenlik kontrollerini ve güvenlik duvarlarını atlamak için Windows svchost.exe olarak gizlenmiş bir Cloudflare tüneli kurdular.
Simplehelp’i saldırılardan korumak
SimpleHelp kullanıcılarına CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728’i mümkün olan en kısa sürede ele alan mevcut güvenlik güncellemelerini uygulamaları tavsiye edilir. Daha fazla bilgi için satıcının bültenini kontrol edin.
Ayrıca, ‘SQLadmin’ ve ‘FPMHLTTECH’ veya tanımadığınız diğer kişiler adlı yönetici hesaplarını arayın ve Field Effect’in raporunda listelenen IPS ile bağlantıları arayın.
Sonuçta, kullanıcılar yetkisiz erişimi önlemek için SimpleHelp erişimi güvenilir IP aralıklarına kısıtlamalıdır.