يستهدف المتسللون عملاء SimpleHelp RMM الضعفاء لإنشاء حسابات المسؤول ، وإعادة التراجع ، وربما وضع الأساس لهجمات الفدية.
يتم تتبع العيوب على أنها CVE-2024-57726 و CVE-2024-57727 و CVE-2024-57728 وتم الإبلاغ عنها على أنها قد تم استغلالها بنشاط بواسطة”https://www.bleepingcomputer.com/news/security/hackers-exploiting-flaws-in-simplehelp-rmm-to-breach-networks/” الهدف=”_blank” rel=”nofollow noopener”> الذئب القطب الشمالي الأسبوع الماضي. ومع ذلك ، فإن شركة الأمن السيبراني لا يمكن أن تؤكد بالتأكيد ما إذا كانت العيوب قد استخدمت.
أكدت شركة Field Field Affect لشركة الأمن السيبراني BleepingComputer أن العيوب يتم استغلالها في الهجمات الأخيرة وإطلاقها”http://fieldeffect.com/blog/field-effect-mitigates-not-so-simplehelp-exploits-enabling-deployment-of-backdoors” الهدف=”_blank” rel=”nofollow noopener”> تقرير الذي يلقي الضوء على نشاط ما بعد الاستغلال.
بالإضافة إلى ذلك ، يذكر باحثو الأمن السيبراني أن النشاط المرصود له علامات على هجمات Akira Ransomware ، على الرغم من أنهم لا يحملون أدلة كافية لإسناد الثقة العالية.
استهداف SimpleHelp RMM
بدأ الهجوم بتهديد الجهات الفاعلة التي تستغل نقاط الضعف في عميل RMM البسيط لإنشاء اتصال غير مصرح به بنقطة نهاية مستهدفة.
المهاجمون المتصلين من IP 194.76.227[.]171 ، خادم مقره الإستوني الذي يعمل على مثيل بسيط في المنفذ 80.
بمجرد الاتصال عبر RMM ، قام المهاجمون بسرعة بتنفيذ سلسلة من أوامر الاكتشاف لمعرفة المزيد عن البيئة المستهدفة ، بما في ذلك تفاصيل النظام والشبكة والمستخدمين والامتيازات والمهام والخدمات المجدولة ومعلومات تحكم المجال.
لاحظ تأثير الميدان أيضًا أمرًا بحثًا عن جناح CrowdStrike Falcon الأمني ، على الأرجح من المحاولة الالتفافية الالتفافية.
الاستفادة من وصولهم ومعرفتهم ، ثم شرع المهاجمون في إنشاء حساب مسؤول جديد مسمى “sqladmin” للحفاظ على الوصول إلى البيئة ، تليها تثبيت إطار عمل الشظية بعد الاستغلال (Agent.exe).
Sliver هو إطار ما بعد الاستغلال الذي طورته Bishopfox الذي شهده”http://Sliver,developedbycybersecuritycompanyBishopFox,isaGolang-basedcross-platformpost-exploitationframeworkthathasemergedasalucrativeoptionforthreatactorsincomparisontootherwell-knownalternativeslikeCobaltStrike.” الهدف=”_blank” rel=”nofollow noopener”> زيادة الاستخدام على مدار العامين الماضيين كبديل لإضراب الكوبالت ، والذي يتم اكتشافه بشكل متزايد عن طريق حماية نقطة النهاية.
عند نشرها ، سيقوم Sliver بالاتصال مرة أخرى بخادم الأمر والتحكم (C2) لفتح قذيفة عكسية أو انتظار تنفيذ الأوامر على المضيف المصاب.
تم تكوين منارة الشظية التي لوحظت في الهجوم للاتصال بـ C2 في هولندا. حدد تأثير الحقل أيضًا IP احتياطي مع تمكين بروتوكول سطح المكتب عن بُعد (RDP).
مع تأسيس الثبات ، انتقل المهاجمون بشكل أعمق في الشبكة من خلال المساس بوحدة تحكم المجال (DC) باستخدام عميل RMM Simplehelp نفسه وإنشاء حساب مسؤول آخر (“fpmhlttech”).
بدلاً من الباب الخلفي ، قام المهاجمون بتثبيت نفق CloudFlare متنكريًا في نظام Windows Svchost.exe للحفاظ على إمكانية الوصول الخفي وضوابط الأمان وجدران الحماية.
حماية SimpleHelp من الهجمات
يُنصح مستخدمي SimpleHelp بتطبيق تحديثات الأمان المتاحة التي تتناول CVE-2024-57726 و CVE-2024-57727 و CVE-2014-57728 في أقرب وقت ممكن. لمزيد من المعلومات ،”https://simple-help.com/kb—security-vulnerabilities-01-2025#security-vulnerabilities-in-simplehelp-5-5-7-and-earlier” الهدف=”_blank” rel=”nofollow noopener”> تحقق من نشرة البائع.
بالإضافة إلى ذلك ، ابحث عن حسابات المسؤول المسماة “SQLADMIN” و “FPMHLTTECH” ، أو أي غيرها لا تتعرف عليه ، وابحث عن اتصالات إلى IPS المدرجة في تقرير الحقل.
في نهاية المطاف ، يجب على المستخدمين تقييد وصول SimpleHelp إلى نطاقات IP الموثوقة لمنع الوصول غير المصرح به.