ผู้ไม่หวังดีกำลังโจมตี SimpleHelp RMM เวอร์ชันที่มีช่องโหว่เพื่อสร้างบัญชีผู้ดูแลระบบ, วาง backdoor และอาจเตรียมการสำหรับการโจมตีด้วยแรนซัมแวร์
ช่องโหว่เหล่านี้มีหมายเลข CVE-2024-57726, CVE-2024-57727 และ CVE-2024-57728 โดย Arctic Wolf รายงานเมื่อสัปดาห์ที่ผ่านมาว่า มีความเป็นไปได้ที่ช่องโหว่เหล่านี้จะถูกใช้ในการโจมตี อย่างไรก็ตามบริษัทด้านความปลอดภัยไซเบอร์ยังไม่สามารถยืนยันได้อย่างแน่ชัดว่ามีการนำไปใช้ในการโจมตีจริงแล้วหรือไม่
บริษัทความปลอดภัยทางไซเบอร์ Field Effect ยืนยันกับ BleepingComputer ว่า ช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตีล่าสุด และได้เผยแพร่รายงานที่ให้ข้อมูลเชิงลึกเกี่ยวกับกิจกรรมหลังการโจมตี
นอกจากนี้ นักวิจัยด้านความปลอดภัยไซเบอร์ระบุว่ากิจกรรมที่ตรวจพบมีลักษณะคล้ายกับการโจมตีของแรนซัมแวร์ Akira แต่ยังไม่มีหลักฐานเพียงพอที่จะระบุความเชื่อมโยงได้
การมุ่งเป้าหมายการโจมตีไปที่ SimpleHelp RMM
การโจมตีเริ่มต้นโดยผู้ไม่หวังดีจะใช้ช่องโหว่ในซอฟต์แวร์ SimpleHelp RMM เพื่อสร้างการเชื่อมต่อที่ไม่ได้รับอนุญาตไปยังอุปกรณ์ที่เป็นเป้าหมาย
ผู้ไม่หวังดีเชื่อมต่อจาก IP 194[.]76[.]227[.]171 ซึ่งเป็นเซิร์ฟเวอร์ที่ตั้งอยู่ใน Estonian ซึ่งใช้งานอินสแตนซ์ SimpleHelp บนพอร์ต 80
หลังจากเชื่อมต่อผ่าน RMM แล้ว ผู้ไม่หวังดีจะดำเนินการใช้คำสั่งการค้นหาอย่างรวดเร็ว เพื่อเรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับสภาพแวดล้อมของเป้าหมาย รวมถึงรายละเอียดของระบบ และเครือข่าย, ผู้ใช้ และสิทธิ์, scheduled tasks และบริการต่าง ๆ รวมถึงข้อมูลของ Domain Controller
Field Effect พบคำสั่งที่ค้นหาซอฟต์แวร์รักษาความปลอดภัย CrowdStrike Falcon ซึ่งน่าจะเป็นความพยายามในการ bypass การตรวจจับ
ผู้ไม่หวังดีใช้ประโยชน์จากการเข้าถึง และข้อมูลที่ได้รับ เพื่อสร้างบัญชีผู้ดูแลระบบใหม่ชื่อ "sqladmin" เพื่อรักษาการเข้าถึงบนระบบ ตามด้วยการติดตั้ง Sliver post-exploitation framework (agent.exe)
Sliver เป็น framework สำหรับการใช้ประโยชน์หลังการโจมตีที่พัฒนาโดย BishopFox ซึ่งพบว่ามีการใช้งานเพิ่มขึ้นในช่วงสองสามปีที่ผ่านมา เนื่องจากเป็นทางเลือกแทน Cobalt Strike ซึ่งถูกตรวจพบเพิ่มขึ้นจากอุปกรณ์ endpoint
เมื่อใช้งาน Sliver มันจะเชื่อมต่อกลับไปยัง C2 Server เพื่อเปิด reverse shell หรือรอรับคำสั่งที่จะดำเนินการบนโฮสต์ที่ติดมัลแวร์
Sliver beacon ที่พบในการโจมตีนี้ถูกตั้งค่าให้เชื่อมต่อกับ C2 ที่ตั้งอยู่ในเนเธอร์แลนด์ นอกจากนี้ Field Effect ยังพบ IP สำรองที่เปิดใช้งาน Remote Desktop Protocol (RDP)
เมื่อผู้ไม่หวังดีสามารถแฝงตัวอยู่บนระบบได้แล้ว ผู้ไม่หวังดีจะเริ่มขยายการโจมตีไปยังส่วนอื่น ๆ ของเครือข่าย โดยการโจมตี Domain Controller (DC) ด้วยการใช้ SimpleHelp RMM client เดียวกัน และสร้างบัญชีผู้ดูแลระบบอีกบัญชีหนึ่งชื่อ "fpmhlttech"
แทนที่จะใช้ backdoor ผู้ไม่หวังดีได้ติดตั้ง Cloudflare Tunnel ซึ่งปลอมเป็นโปรแกรม Windows svchost.exe เพื่อรักษาการเข้าถึงแบบลับ ๆ และหลีกเลี่ยงการตรวจจับจาก security controls และไฟร์วอลล์
การป้องกัน SimpleHelp จากการโจมตี
ผู้ใช้งาน SimpleHelp ควรอัปเดตแพตซ์ความปลอดภัยเพื่อแก้ไขช่องโหว่ CVE-2024-57726, CVE-2024-57727, และ CVE-2024-57728 โดยเร็วที่สุด สำหรับข้อมูลเพิ่มเติมสามารถตรวจสอบจากบันทึกของผู้ให้บริการ
นอกจากนี้ ควรตรวจสอบบัญชีผู้ดูแลระบบที่ชื่อ 'sqladmin' และ 'fpmhlttech' หรือบัญชีอื่น ๆ ที่ไม่รู้จัก และตรวจสอบการเชื่อมต่อกับ IP ที่ระบุในรายงานของ Field Effect
สุดท้ายผู้ใช้งานควรจำกัดการเข้าถึง SimpleHelp เฉพาะ IP ที่เชื่อถือได้ เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
ที่มา : bleepingcomputer
You must be logged in to post a comment.