Se ha observado que los actores de amenaza explotan fallas de seguridad recientemente divulgadas en el software de monitoreo y papeleo remota de SimpleHelp (RMM) como precursor de lo que parece ser un ataque de ransomware.
La intrusión aprovechó las vulnerabilidades ahora paradas para obtener paso original y amparar el paso remoto persistente a una red de objetivos no especificada, dijo el intención de campo de la compañía de seguridad cibernética en un noticia compartido con las noticiario de los hackers.
“El ataque involucró la ejecución rápida y deliberada de varias tácticas, técnicas y procedimientos (TTP) posteriores a la compromiso, incluido el descubrimiento de redes y del sistema, la creación de cuentas de administrador y el establecimiento de mecanismos de persistencia, lo que podría activo llevado a la implementación de ransomware”, Los investigadores de seguridad Ryan Slaney y Daniel Albrecht dijeron.
Las vulnerabilidades en cuestión, CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728 fueron revelados por Horizon3.ai el mes pasado. La explotación exitosa de los agujeros de seguridad podría permitir la divulgación de información, la ascensión de privilegios y la ejecución de código remoto.
Desde entonces, se han abordado en las versiones de SimpleHelp 5.3.9, 5.4.10 y 5.5.8 lanzados el 8 y 13 de enero de 2025.
Solo semanas posteriormente, Arctic Wolf dijo que observó una campaña que implicaba obtener paso no calificado a dispositivos que ejecutan un software de escritorio remoto SimpleHelp como un vector de paso original.
Si admisiblemente no estaba claro en ese momento si estas vulnerabilidades se utilizaron, los últimos hallazgos de Field Effect confirman que están siendo armados activamente como parte de las cadenas de ataque de ransomware.
En el incidente analizado por la compañía canadiense de ciberseguridad, el paso original se obtuvo a un punto final objetivo a través de una instancia relajado de SimpleHelp RMM (“194.76.227 (.) 171”) ubicada en Estonia.
Al establecer una conexión remota, se ha observado que el actor de amenaza realiza una serie de acciones posteriores a la explotación, incluidas las operaciones de registro y descubrimiento, así como la creación de una cuenta de administrador indicación “sqladmin” para entregar el despliegue del entorno de fragmentos de fuente abierta.
Después, la persistencia ofrecida por Sliver fue abusada para moverse lateralmente a través de la red, estableciendo una conexión entre el regulador de dominio (DC) y el cliente relajado de SimpleHelp RMM y, en última instancia, instalando un túnel de CloudFlare para enrutar sigilmente el tráfico a los servidores bajo el control del atacante a través de la Web a través de la web Infraestructura de la empresa de infraestructura.
Field Effect dijo que el ataque se detectó en esta etapa, evitando que el intento de ejecución del túnel tenga empleo y aislar el sistema de la red para respaldar un longevo compromiso.
En el caso de que el evento no fue traumatizado, el túnel CloudFlare podría activo servido como conducto para recuperar cargas aperos adicionales, incluido el ransomware. La compañía dijo que las tácticas se superponen con la de los ataques de ransomware Akira previamente reportados en mayo de 2023, aunque igualmente es posible que otros actores de amenaza hayan recogido la artesanía.
“Esta campaña demuestra solo un ejemplo de cómo los actores de amenaza están explotando activamente las vulnerabilidades de SimpleHelp RMM para obtener un paso persistente no calificado a las redes de interés”, dijeron los investigadores. “Las organizaciones con exposición a estas vulnerabilidades deben desempolvar a sus clientes RMM lo antiguamente posible y considerar adoptar una posibilidad de ciberseguridad para defenderse de las amenazas”.
El progreso se produce cuando Silent Push reveló que está viendo un aumento en el uso del software RMM ScreenConnect en hosts a prueba de balas como una forma para que los actores de amenaza obtengan paso y controlen los puntos finales de las víctimas.
“Los atacantes potenciales han estado utilizando la ingeniería social para atraer a las víctimas a instalar copias de software legítimas configuradas para trabajar bajo el control del actor de amenaza”, dijo la compañía. “Una vez instalados, los atacantes usan el instalador reformado para obtener paso rápidamente a los archivos de la víctima”.
