Tehdit aktörlerinin, SimpleHelp’in Uzaktan İzleme ve Yönetimi (RMM) yazılımındaki son zamanlarda bir fidye yazılımı saldırısı gibi görünen bir öncü olarak açıklanan güvenlik kusurlarından yararlandığı gözlemlenmiştir.
Siber Güvenlik Şirketi Field Effect, Hacker News ile paylaşılan bir raporda, müdahalenin ilk erişimini elde etmek ve belirtilmemiş bir hedef ağa kalıcı uzaktan erişimi sürdürmek için şimdi daplanmış güvenlik açıklarından yararlandığını söyledi.
“Saldırı, ağ ve sistem keşfi, yönetici hesabı oluşturma ve fidye yazılımlarının dağıtılmasına yol açabilecek kalıcılık mekanizmalarının oluşturulması dahil olmak üzere, birkaç işbirliği sonrası taktik, teknik ve prosedürün (TTP) hızlı ve kasıtlı olarak yürütülmesini içeriyordu.” Güvenlik araştırmacıları Ryan Slaney ve Daniel Albrecht söyledi.
Söz konusu güvenlik açıkları, CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728, geçen ay Horizon3.Ai tarafından açıklandı. Güvenlik deliklerinin başarılı bir şekilde kullanılması, bilgi açıklaması, ayrıcalık artışı ve uzaktan kod yürütülmesine izin verebilir.
O zamandan beri 8 ve 13 Ocak 2025’te piyasaya sürülen 5.3.9, 5.4.10 ve 5.5.8 sürümlerinde ele alınmıştır.
Sadece haftalar sonra Arctic Wolf, ilk erişim vektörü olarak SimpleHelp uzak masaüstü yazılımını çalıştıran cihazlara yetkisiz erişim elde etmeyi içeren bir kampanya gözlemlediğini söyledi.
O zamanlar bu güvenlik açıklarının kullanıma sunulması belirsiz olsa da, fidye yazılımı saldırı zincirlerinin bir parçası olarak aktif olarak silahlandırıldıklarını doğrulamak dışında saha etkisinden gelen en son bulgular.
Kanada Siber Güvenlik Şirketi tarafından analiz edilen olayda, ilk erişim, savunmasız bir SimpleHelp RMM örneği ile hedeflenen bir uç noktaya kazanıldı (“194.76.227[.]171 “) Estonya’da bulunur.
Uzaktan bir bağlantı kurduktan sonra, tehdit oyuncusu, keşif ve keşif operasyonları da dahil olmak üzere bir dizi sömürme sonrası eylemin yanı sıra açık kaynaklı şerit çerçevesinin konuşlandırılmasını kolaylaştırmak için “Sqladmin” adlı bir yönetici hesabı oluşturduğu gözlemlenmiştir.
Sliver tarafından sunulan kalıcılık, daha sonra ağ boyunca yanal olarak hareket etmek için istismar edildi, Etki Alanı Denetleyicisi (DC) ve savunmasız SimpleHelp RMM istemcisi arasında bir bağlantı kurdu ve sonuçta bir Cloudflare tüneli yüklemek için trafiği web üzerinden saldırganın kontrolü altındaki sunuculara gizlice yönlendirdi. Altyapı Şirketi Altyapısı.
Field Effect, saldırının bu aşamada tespit edildiğini, tünel uygulamasının gerçekleşmesini önleyerek ve daha fazla uzlaşma sağlamak için sistemi ağdan izole ettiğini söyledi.
Etkinliğin işaretlenmemesi durumunda, Cloudflare tüneli fidye yazılımı da dahil olmak üzere ek yükler almak için bir kanal görevi görmüş olabilir. Şirket, taktiklerin Mayıs 2023’te daha önce bildirilen Akira fidye yazılımı saldırılarıyla örtüştüğünü, ancak diğer tehdit aktörlerinin Tradectreft’ı benimsemesi de mümkün olduğunu söyledi.
Araştırmacılar, “Bu kampanya, tehdit aktörlerinin ilgi alanlarına yetkisiz kalıcı erişim elde etmek için SimpleHelp RMM güvenlik açıklarından nasıl aktif olarak yararlandıklarının sadece bir örneği olduğunu gösteriyor.” Dedi. “Bu güvenlik açıklarına maruz kalan kuruluşlar, RMM müşterilerini mümkün olan en kısa sürede güncellemeli ve tehditlere karşı savunmak için bir siber güvenlik çözümü benimsemeyi düşünmelidir.”
Geliştirme, Sessiz Push, tehdit aktörlerinin kurban uç noktalarını erişim ve kontrol edinmelerinin bir yolu olarak kurşun geçirmez ana bilgisayarlarda Screenconnect RMM yazılımının kullanımında bir artış gördüğünü ortaya koydu.
Şirket, “Potansiyel saldırganlar, kurbanları tehdit aktörünün kontrolü altında faaliyet gösterecek şekilde yapılandırılmış meşru yazılım kopyalarını kurmaya teşvik etmek için sosyal mühendisliği kullanıyor.” Dedi. “Kurulduktan sonra, saldırganlar kurbanın dosyalarına hızlı bir şekilde erişmek için değiştirilmiş yükleyiciyi kullanıyor.”