Злоумышленники пользуются недавно раскрытыми уязвимостями SimpleHelp RMM, чтобы получить ранний доступ к системам и подготовиться к вымогательским атакам. Исследователи безопасности из Field Effect, включая Райана Слейни и Дэниела Альбрехта, указывают на активное использование этих брешь как шага, позволяющего закрепить удалённое присутствие и быстро развернуть инструменты для последующего захвата данных.
Специалисты обнаружили уязвимости CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 в прошлом месяце. Они напрямую угрожают конфиденциальности и целостности систем, поскольку дают возможность разглашения информации, повышения привилегий и удалённого выполнения кода. Пространство для атаки увеличивается из-за задержек во внедрении патчей, выпущенных 8 января 2025 года и 13 января 2025 года для версий SimpleHelp 5.3.9, 5.4.10 и 5.5.8.
Через несколько недель после обнаружения бреши аналитики Arctic Wolf зафиксировали несанкционированные подключения к устройствам с SimpleHelp, что указывает на использование эксплойтов для получения первоначального доступа. Field Effect подтверждает, что эти уязвимости стали частью рансомерных цепочек: злоумышленники разворачивают инструменты для разведки сети, закрепления учётных записей и подготовки к предполагаемой шифровальной атаке.
В одном из расследований Field Effect найдена уязвимая инстанция SimpleHelp на IP-адресе 194.76.227[.]171 (Эстония), которая обеспечила доступ к целевому хосту. Дальше злоумышленники создали новую администраторскую учётную запись «sqladmin» и установили фреймворк Sliver, чтобы незаметно перемещаться по сети и сохранять контроль. Анализ показал связь между контроллером домена и уязвимым клиентом SimpleHelp, что позволило перенаправлять трафик в обход стандартных фильтров.
Параллельно с этим злоумышленники попытались установить туннель Cloudflare для скрытого маршрутизации данных. Field Effect обнаружили подозрительный процесс при запуске туннеля и оперативно изолировали систему. Если бы туннель сработал, возможна была бы дальнейшая загрузка вредоносных пакетов, включая шифровальщик, схожий с атаками Akira в мае 2023 года.
Эксперты настоятельно рекомендуют организациям, использующим SimpleHelp RMM, обновить программное обеспечение до версий 5.3.9, 5.4.10 или 5.5.8. Для защиты необходима постоянная проверка на признаки взлома, своевременное внедрение патчей и комплексная система мониторинга конечных точек. Подобные атаки часто сопровождаются попытками повышения привилегий и развертыванием инструментов для скрытой активности.
В дополнение к SimpleHelp участились и случаи злоупотребления ScreenConnect RMM. Компания Silent Push фиксирует рост популярности применения этой платформы на «пуленепробиваемых» серверах, а социальная инженерия помогает киберпреступникам убеждать жертв установить легитимный софт, настроенный в их пользу. Это обеспечивает мгновенный доступ к системам и критическим файлам жертв, повышая риск масштабных вымогательских кампаний.
Изображение носит иллюстративный характер
Специалисты обнаружили уязвимости CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 в прошлом месяце. Они напрямую угрожают конфиденциальности и целостности систем, поскольку дают возможность разглашения информации, повышения привилегий и удалённого выполнения кода. Пространство для атаки увеличивается из-за задержек во внедрении патчей, выпущенных 8 января 2025 года и 13 января 2025 года для версий SimpleHelp 5.3.9, 5.4.10 и 5.5.8.
Через несколько недель после обнаружения бреши аналитики Arctic Wolf зафиксировали несанкционированные подключения к устройствам с SimpleHelp, что указывает на использование эксплойтов для получения первоначального доступа. Field Effect подтверждает, что эти уязвимости стали частью рансомерных цепочек: злоумышленники разворачивают инструменты для разведки сети, закрепления учётных записей и подготовки к предполагаемой шифровальной атаке.
В одном из расследований Field Effect найдена уязвимая инстанция SimpleHelp на IP-адресе 194.76.227[.]171 (Эстония), которая обеспечила доступ к целевому хосту. Дальше злоумышленники создали новую администраторскую учётную запись «sqladmin» и установили фреймворк Sliver, чтобы незаметно перемещаться по сети и сохранять контроль. Анализ показал связь между контроллером домена и уязвимым клиентом SimpleHelp, что позволило перенаправлять трафик в обход стандартных фильтров.
Параллельно с этим злоумышленники попытались установить туннель Cloudflare для скрытого маршрутизации данных. Field Effect обнаружили подозрительный процесс при запуске туннеля и оперативно изолировали систему. Если бы туннель сработал, возможна была бы дальнейшая загрузка вредоносных пакетов, включая шифровальщик, схожий с атаками Akira в мае 2023 года.
Эксперты настоятельно рекомендуют организациям, использующим SimpleHelp RMM, обновить программное обеспечение до версий 5.3.9, 5.4.10 или 5.5.8. Для защиты необходима постоянная проверка на признаки взлома, своевременное внедрение патчей и комплексная система мониторинга конечных точек. Подобные атаки часто сопровождаются попытками повышения привилегий и развертыванием инструментов для скрытой активности.
В дополнение к SimpleHelp участились и случаи злоупотребления ScreenConnect RMM. Компания Silent Push фиксирует рост популярности применения этой платформы на «пуленепробиваемых» серверах, а социальная инженерия помогает киберпреступникам убеждать жертв установить легитимный софт, настроенный в их пользу. Это обеспечивает мгновенный доступ к системам и критическим файлам жертв, повышая риск масштабных вымогательских кампаний.
