Negli ultimi tempi, sono stati rilevati attacchi informatici che sfruttano le vulnerabilità della piattaforma di monitoraggio remoto e gestione (RMM) di SimpleHelp. Queste vulnerabilità sono state utilizzate come punto di partenza per attacchi potenzialmente culminanti in ransomware. I cybercriminali hanno sfruttato le falle di sicurezza, ora risolte, per accedere in modo non autorizzato e mantenere un accesso persistente a reti bersaglio, secondo un rapporto dell'azienda di sicurezza informatica Field Effect.

Dettagli sugli Attacchi

Gli attacchi hanno coinvolto l'esecuzione rapida di tecniche post-compromissione, come la scoperta di reti e sistemi, la creazione di account amministrativi e l'istituzione di meccanismi di persistenza. Tali azioni potrebbero potenzialmente portare al dispiegamento di ransomware. Le vulnerabilità sfruttate sono identificate come CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728, e sono state divulgate da Horizon3.ai. Queste falle possono permettere divulgazione di informazioni, escalation di privilegi ed esecuzione di codice da remoto.

Osservazioni di Arctic Wolf

Gli attacchi sono stati osservati da Arctic Wolf, che ha identificato una campagna mirata a ottenere accesso non autorizzato ai dispositivi che eseguono SimpleHelp come vettore di accesso iniziale. Mentre in passato non era chiaro se queste vulnerabilità fossero state sfruttate, le ultime scoperte confermano che sono effettivamente utilizzate negli attacchi ransomware. L'accesso iniziale è stato ottenuto tramite un'istanza vulnerabile di SimpleHelp in Estonia. Una volta stabilita la connessione remota, gli attaccanti hanno creato un account amministrativo per facilitare il dispiegamento del framework open-source Sliver.

Uso di Sliver e Tunnel Cloudflare

Sliver è stato utilizzato per muoversi lateralmente all'interno della rete, stabilendo una connessione tra il controller di dominio e il client RMM vulnerabile di SimpleHelp, e installando infine un tunnel Cloudflare per instradare il traffico verso server controllati dagli attaccanti. Fortunatamente, l'attacco è stato rilevato in questa fase, impedendo l'esecuzione del tunnel e isolando il sistema dalla rete per evitare compromissioni ulteriori.

Se il tunnel Cloudflare fosse stato attivato, avrebbe potuto servire come canale per il recupero di payload aggiuntivi, inclusi ransomware. È importante notare che tattiche simili sono state osservate negli attacchi ransomware di Akira nel maggio 2023. Tuttavia, è possibile che anche altri gruppi di minacce abbiano adottato queste tecniche.

Conclusioni

Questo tipo di attacco dimostra come i cybercriminali sfruttano attivamente le vulnerabilità di SimpleHelp per ottenere un accesso persistente non autorizzato a reti di interesse. Le organizzazioni che utilizzano questa piattaforma devono aggiornare i loro client RMM il prima possibile e considerare l'adozione di soluzioni di sicurezza informatica per difendersi dalle minacce.