ハッカーは、最近修正された SimpleHelp Remote Monitoring and Management (RMM) ソフトウェアの脆弱性を悪用し、標的のネットワークへの初期アクセスを獲得していると考えられています。
CVE-2024-57726、CVE-2024-57727、CVE-2024-57728として追跡されているこの欠陥により、脅威者はデバイス上でファイルをダウンロードおよびアップロードし、管理者レベルまで特権を昇格させることができます。
これらの脆弱性は、2週間前にHorizon3の研究者によって発見され、公開されました。SimpleHelpは1月8日から13日にかけて、製品バージョン5.5.8、5.4.10、5.3.9で修正プログラムをリリースした。
Arctic Wolfは現在、SimpleHelpのサーバーを標的にした進行中のキャンペーンについて報告しており、このキャンペーンはHorizon3による欠陥の公開からおよそ1週間後に開始された。
このセキュリティ会社は、この攻撃がこれらの欠陥を利用していることを100%確信しているわけではないが、Horizon3社の報告書と比較して中程度の確信を持っている。
「最近公開された脆弱性が、今回観測されたキャンペーンの原因であることは確認されていませんが、Arctic Wolfは、可能な限りSimpleHelpサーバーソフトウェアを、利用可能な最新の修正バージョンにアップグレードすることを強く推奨します。
「サードパーティのサポートセッションのためにSimpleHelpクライアントがデバイスにインストールされていたが、日常業務で積極的に使用されていない場合、Arctic Wolfは潜在的な攻撃対象領域を減らすためにソフトウェアをアンインストールすることを推奨する。
脅威監視プラットフォームShadowserver Foundationは、580の脆弱なインスタンスがオンラインで公開されており、そのほとんど(345)が米国にあると報告している。
野生の攻撃
Artic Wolfの報告によると、SimpleHelpの’Remote Access.exe’プロセスは攻撃前にすでにバックグラウンドで実行されており、これはSimpleHelpがデバイスのリモート・サポート・セッション用に以前インストールされていたことを示している。
侵害の最初の兆候は、ターゲットデバイス上のSimpleHelpクライアントが未承認のSimpleHelpサーバーと通信していたことです。
これは、攻撃者がSimpleHelpの欠陥を悪用してクライアントをコントロールするか、盗んだ認証情報を使って接続を乗っ取ることで可能になります。
内部に侵入すると、攻撃者は「net」や「nltest」などのcmd.exeコマンドを実行し、ユーザーアカウント、グループ、共有リソース、ドメインコントローラーのリストなど、システムに関するインテリジェンスを収集し、Active Directoryの接続性をテストします。
これらは、特権の昇格や横移動を行う前の一般的な手順である。しかし、Arctic Wolfによると、悪意のあるセッションは、脅威者が次に何をするかを決定する前に切断されたという。
SimpleHelpユーザーは、CVE-2024-57726、CVE-2024-57727、およびCVE-2024-57728の欠陥に対処した最新バージョンにアップグレードすることが推奨されます。
セキュリティアップデートの適用方法とパッチの確認方法の詳細については、SimpleHelpのBulletinを参照してください。
もし過去にリモートサポートセッションのためにSimpleHelpクライアントがインストールされていたとしても、もう必要ないのであれば、攻撃される可能性をなくすためにシステムからアンインストールするのが最善でしょう。
Comments