Tin tặc tấn công điểm yếu của phần mềm SimpleHelp RMM để phát tán mã độc

Theo cảnh báo, các lỗ hổng được theo dõi là CVE-2024-57726, CVE-2024-57727 và CVE-2024-57728 và được Công ty Arctic Wolf đánh dấu vào tuần trước là có khả năng bị khai thác. Tuy nhiên, công ty an ninh mạng không thể xác nhận chắc chắn liệu các lỗ hổng này có được sử dụng hay không.

Trong khi đó, Công ty an ninh mạng Field Effect đã xác nhận với trang BleepingComputer rằng các lỗ hổng đang bị khai thác trong các cuộc tấn công gần đây và công bố báo cáo làm sáng tỏ hoạt động sau khi khai thác.

Ảnh minh họa.

Ngoài ra, các nhà nghiên cứu an ninh mạng đề cập rằng hoạt động được quan sát có dấu hiệu của các cuộc tấn công bằng phần mềm tống tiền Akira, mặc dù họ không có đủ bằng chứng để đưa ra kết luận có độ tin cậy cao.

Cuộc tấn công bắt đầu khi kẻ tấn công khai thác lỗ hổng trong ứng dụng khách SimpleHelp RMM để thiết lập kết nối trái phép đến điểm cuối mục tiêu. Những kẻ tấn công kết nối từ IP 194.76.227[.]171, một máy chủ có trụ sở tại Estonia chạy phiên bản SimpleHelp trên cổng 80.

Sau khi kết nối qua RMM, kẻ tấn công nhanh chóng thực hiện một loạt lệnh khám phá để tìm hiểu thêm về môi trường mục tiêu, bao gồm thông tin chi tiết về hệ thống và mạng, người dùng và đặc quyền, tác vụ và dịch vụ theo lịch trình cũng như thông tin về bộ điều khiển miền.

Field Effect cũng quan sát thấy một lệnh tìm kiếm bộ bảo mật CrowdStrike Falcon, có khả năng là một nỗ lực vượt qua biện pháp phòng thủ. Tận dụng khả năng truy cập và kiến ​​thức của mình, những kẻ tấn công tiến hành tạo một tài khoản quản trị viên mới có tên là "sqladmin" để duy trì quyền truy cập vào môi trường, sau đó là cài đặt nền tảng khai thác Sliver (agent.exe).

Sliver là một khuôn khổ hậu khai thác được BishopFox phát triển, được sử dụng ngày càng nhiều trong vài năm trở lại đây như một giải pháp thay thế cho Cobalt Strike, vốn ngày càng được phát hiện bởi tính năng bảo vệ điểm cuối. Khi được triển khai, Sliver sẽ kết nối trở lại với máy chủ chỉ huy và điều khiển (C2) để mở shell ngược hoặc chờ lệnh thực thi trên máy chủ bị nhiễm.

Đèn hiệu Sliver được quan sát thấy trong cuộc tấn công được cấu hình để kết nối với C2 ở Hà Lan. Field Effect cũng xác định được một IP dự phòng có bật Giao thức máy tính từ xa (RDP).

Sau khi đã duy trì được tính bền bỉ, những kẻ tấn công tiến sâu hơn vào mạng bằng cách xâm nhập Bộ điều khiển miền (DC) bằng cùng một ứng dụng khách SimpleHelp RMM và tạo một tài khoản quản trị viên khác ("fpmhlttech").

Thay vì sử dụng cửa sau, kẻ tấn công đã cài đặt Cloudflare Tunnel ngụy trang thành Windows svchost.exe để duy trì quyền truy cập ẩn và vượt qua các biện pháp kiểm soát bảo mật và tường lửa.

Người dùng SimpleHelp được khuyên nên áp dụng các bản cập nhật bảo mật có sẵn để giải quyết CVE-2024-57726, CVE-2024-57727 và CVE-2024-57728 càng sớm càng tốt. Để biết thêm thông tin, hãy kiểm tra bản tin của nhà cung cấp.

Ngoài ra, người dùng hãy tìm kiếm các tài khoản quản trị viên có tên 'sqladmin' và 'fpmhlttech' hoặc bất kỳ tài khoản nào khác không nhận ra và tìm kiếm các kết nối đến các IP được liệt kê trong báo cáo của Field Effect.

Cuối cùng, người dùng nên hạn chế quyền truy cập SimpleHelp vào các dải IP đáng tin cậy để ngăn chặn truy cập trái phép.

Duy Trinh (theo Bleeping Computer)