ハッカーは、脆弱な SimpleHelp RMM クライアントを標的として、管理者アカウントを作成し、バックドアを設置し、ランサムウェア攻撃の下地を作っている可能性があります。
この欠陥はCVE-2024-57726、CVE-2024-57727、CVE-2024-57728として追跡され、先週Arctic Wolfによって積極的に悪用される可能性があると報告された。しかし、サイバーセキュリティ企業は、これらの欠陥が使用されたかどうかを確認することはできなかった。
サイバーセキュリティ企業のField Effectは、最近の攻撃でこの欠陥が悪用されていることを確認し、悪用後の活動に光を当てたレポートを発表した。
さらに、サイバーセキュリティ研究者は、信頼性の高い帰属を決定するのに十分な証拠を保持していないものの、観察された活動にはAkiraランサムウェア攻撃の兆候があると言及している。
SimpleHelp RMMの標的
この攻撃は、攻撃者がSimpleHelp RMMクライアントの脆弱性を悪用し、標的のエンドポイントに不正な接続を確立することから始まりました。
攻撃者はIP 194.76.227[.]171、ポート80でSimpleHelpインスタンスを実行しているエストニアベースのサーバーから接続しました。
RMM経由で接続されると、攻撃者はすぐに一連のディスカバリーコマンドを実行し、システムおよびネットワークの詳細、ユーザーおよび権限、スケジュールされたタスクおよびサービス、ドメインコントローラ情報など、標的の環境について詳しく調べました。
また、Field Effectは、CrowdStrike Falconセキュリティスイートを検索するコマンドも観測しており、おそらくバイパスを試みたものと思われます。
攻撃者は、自分たちのアクセスと知識を活用し、「sqladmin」という新しい管理者アカウントを作成し、環境へのアクセスを維持し、その後、Sliverポストエクスプロイトフレームワーク(agent.exe)をインストールしました。
SliverはBishopFox社が開発したポストエクスプロイトフレームワークで、エンドポイントプロテクションで検出されることが多くなったCobalt Strikeの代替として、ここ数年で利用が増加しています。
展開されると、Sliverはコマンド・アンド・コントロール・サーバー(C2)に接続し、リバースシェルを開いたり、感染したホスト上でコマンドの実行を待機したりします。
今回の攻撃で観測されたSliverビーコンは、オランダのC2に接続するように設定されていました。また、Field Effectは、リモート・デスクトップ・プロトコル(RDP)が有効になっているバックアップIPも特定しました。
持続性を確立した攻撃者は、同じSimpleHelp RMMクライアントを使用してドメインコントローラ(DC)を侵害し、別の管理者アカウント(「fpmhlttech」)を作成することで、ネットワークにより深く侵入しました。
攻撃者はバックドアの代わりに、Windowsのsvchost.exeに偽装したCloudflareトンネルをインストールし、ステルスアクセスを維持し、セキュリティコントロールとファイアウォールを回避しました。
攻撃からSimpleHelpを守る
SimpleHelpユーザーは、CVE-2024-57726、CVE-2024-57727、CVE-2024-57728に対応した利用可能なセキュリティ更新プログラムをできるだけ早く適用することをお勧めします。詳細については、ベンダーのBulletinを確認してください。
さらに、’sqladmin’や’fpmhlttech’などの名前の管理者アカウントを探し、Field Effectのレポートに記載されているIPへの接続を探します。
最終的には、ユーザーはSimpleHelpへのアクセスを信頼できるIP範囲に制限し、不正アクセスを防ぐ必要があります。
Comments