黑客正瞄准存在漏洞的 SimpleHelp 远程监控与管理(RMM)客户端,以创建管理员账户、植入后门,并且有可能为勒索软件攻击奠定基础。
这些漏洞编号为 CVE – 2024 – 57726、CVE – 2024 – 57727 和 CVE – 2024 – 57728,上周北极狼(Arctic Wolf)报告称这些漏洞可能正被积极利用。然而,这家网络安全公司无法确切证实这些漏洞是否已被使用。
网络安全公司 Field Effect 已向 BleepingComputer 证实,这些漏洞在近期的攻击中确实被利用了,并发布了一份报告,揭示了攻击后的相关活动。此外,网络安全研究人员提到,观察到的活动有阿基拉(Akira)勒索软件攻击的迹象,尽管他们没有足够的证据来做出高可信度的归因。
针对 SimpleHelp RMM 的攻击
攻击始于威胁行为者利用 SimpleHelp RMM 客户端中的漏洞,与目标端点建立未经授权的连接。攻击者从 IP 地址 194.76.227 [.] 171 发起连接,这是一台位于爱沙尼亚的服务器,在 80 端口运行着 SimpleHelp 实例。
攻击始于威胁行为者利用 SimpleHelp RMM 客户端中的漏洞,与目标端点建立未经授权的连接。攻击者从 IP 地址 194.76.227 [.] 171 发起连接,这是一台位于爱沙尼亚的服务器,在 80 端口运行着 SimpleHelp 实例。
一旦通过 RMM 建立连接,攻击者迅速执行了一系列探测命令,以深入了解目标环境,包括系统和网络细节、用户及权限、计划任务和服务,以及域控制器信息。
Field Effect 还观察到一条搜索 CrowdStrike Falcon 安全套件的命令,这很可能是一次试图绕过该安全套件的尝试。
利用获取的访问权限和信息,攻击者随后创建了一个名为 “sqladmin” 的新管理员账户,以维持对该环境的访问,接着安装了 Sliver 后渗透框架(agent.exe)。
Sliver 是由 BishopFox 开发的后渗透框架,在过去几年中,随着端点保护对 Cobalt Strike 的检测日益增多,Sliver 作为其替代工具,使用频率有所上升。
部署后,Sliver 会回连到命令与控制服务器(C2),以打开反向 shell 或等待在受感染主机上执行命令。
在此次攻击中观察到的 Sliver 信标被配置为连接到位于荷兰的一个 C2 服务器。Field Effect 还识别出一个启用了远程桌面协议(RDP)的备用 IP。
在建立了持久化访问后,攻击者利用同样的 SimpleHelp RMM 客户端入侵域控制器(DC),并创建了另一个管理员账户(“fpmhlttech”),从而进一步深入网络。
攻击者没有选择植入后门,而是安装了一个伪装成 Windows 系统 svchost.exe 的 Cloudflare Tunnel,以维持隐蔽访问并绕过安全控制和防火墙。
保护 SimpleHelp 免受攻击
建议 SimpleHelp 用户尽快应用针对 CVE – 2024 – 57726、CVE – 2024 – 57727 和 CVE – 2024 – 57728 的可用安全更新。如需更多信息,可查看供应商公告。
建议 SimpleHelp 用户尽快应用针对 CVE – 2024 – 57726、CVE – 2024 – 57727 和 CVE – 2024 – 57728 的可用安全更新。如需更多信息,可查看供应商公告。
此外,查找名为 “sqladmin” 和 “fpmhlttech” 的管理员账户,或任何其他不认识的账户,并留意与 Field Effect 报告中所列 IP 的连接。
最后,用户应将 SimpleHelp 的访问权限限制在可信的 IP 范围内,以防止未经授权的访问。
发表评论
您还未登录,请先登录。
登录