Hackers estão mirando clientes vulneráveis do SimpleHelp RMM para criar contas de administrador, introduzir backdoors e potencialmente preparar terreno para ataques de ransomware.
As falhas são registradas como CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728 e foram reportadas como potencialmente exploradas ativamente pela Arctic Wolf na semana passada.
No entanto, a empresa de cibersegurança não pôde confirmar com certeza se as falhas foram utilizadas.
A empresa de cibersegurança Field Effect confirmou que as falhas estão sendo exploradas em ataques recentes e lançou um relatório que ilumina a atividade pós-exploração.
Além disso, os pesquisadores de cibersegurança mencionam que a atividade observada tem sinais de ataques de ransomware Akira, embora eles não tenham evidências suficientes para fazer uma atribuição de alta confiança.
O ataque começou com os atores de ameaça explorando as vulnerabilidades no cliente SimpleHelp RMM para estabelecer uma conexão não autorizada a um ponto final de destino.
Os atacantes se conectaram a partir do IP 194.76.227[.]171, um servidor baseado na Estônia rodando uma instância do SimpleHelp na porta 80.
Uma vez conectados via RMM, os atacantes rapidamente executaram uma série de comandos de descoberta para aprender mais sobre o ambiente alvo, incluindo detalhes do sistema e da rede, usuários e privilégios, tarefas agendadas e serviços e informações do controlador de domínio.
A Field Effect também observou um comando que procurava pelo pacote de segurança CrowdStrike Falcon, provavelmente uma tentativa de bypass.
Tirando proveito de seu acesso e conhecimento, os atacantes então prosseguiram para criar uma nova conta de administrador chamada "sqladmin" para manter acesso ao ambiente, seguido pela instalação do framework de pós-exploração Sliver (agent.exe).
Sliver é um framework de pós-exploração desenvolvido pela BishopFox que viu um aumento de uso nos últimos anos como uma alternativa ao Cobalt Strike, que está sendo cada vez mais detectado por proteção de endpoints.
Quando implantado, o Sliver se conectará de volta a um servidor de comando e controle (C2) para abrir um shell reverso ou esperar por comandos para executar no host infectado.
O beacon do Sliver observado no ataque foi configurado para se conectar a um C2 na Holanda.
A Field Effect também identificou um IP de backup com o Protocolo de Desktop Remoto (RDP) habilitado.
Com a persistência estabelecida, os atacantes avançaram mais fundo na rede comprometendo o Controlador de Domínio (DC) usando o mesmo cliente SimpleHelp RMM e criando outra conta admin ("fpmhlttech").
Ao invés de um backdoor, os atacantes instalaram um Cloudflare Tunnel disfarçado de svchost.exe do Windows para manter acesso furtivo e burlar controles de segurança e firewalls.
Usuários do SimpleHelp são aconselhados a aplicar as atualizações de segurança disponíveis que abordam as CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728 o quanto antes.
Para mais informações, verifique o boletim do fornecedor.
Adicionalmente, procure por contas administrativas nomeadas 'sqladmin' e 'fpmhlttech', ou qualquer outra que não reconheça, e procure por conexões aos IPs listados no relatório da Field Effect.
Em última análise, usuários devem restringir o acesso ao SimpleHelp a faixas de IP confiáveis para prevenir acesso não autorizado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...