Les pirates ciblent les clients RMM SimpleHelp vulnérables pour créer des comptes d’administrateur, supprimer les portes dérobées et potentiellement préparer le terrain pour les attaques de ransomware.
Les failles sont suivies comme CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728 et ont été signalées comme potentiellement activement exploitées par Arctic Wolf la semaine dernière. Cependant, la firme de cybersécurité n’a pas pu confirmer avec certitude si les failles avaient été utilisées.
La société de cybersécurité Field Effect a confirmé à Breachtrace que les failles étaient exploitées lors des récentes attaques et a publié un rapport qui met en lumière l’activité post-exploitation.
De plus, les chercheurs en cybersécurité mentionnent que l’activité observée présente des signes d’attaques par ransomware Akira, bien qu’ils ne détiennent pas suffisamment de preuves pour effectuer une attribution à haute confiance.
Cibler simplement l’aide RMM
L’attaque a commencé avec les acteurs de la menace exploitant les vulnérabilités du client RMM SimpleHelp pour établir une connexion non autorisée à un point de terminaison cible.
Les attaquants se sont connectés à partir de l’IP 194.76.227[.]171, un serveur basé en Estonie exécutant une instance SimpleHelp sur le port 80.
Une fois connectés via RMM, les attaquants ont rapidement exécuté une série de commandes de découverte pour en savoir plus sur l’environnement cible, y compris les détails du système et du réseau, les utilisateurs et les privilèges, les tâches et services planifiés et les informations sur le contrôleur de domaine.
L’effet de champ a également observé une commande qui recherchait la suite de sécurité CrowdStrike Falcon, probablement une tentative de contournement.
Tirant parti de leurs accès et de leurs connaissances, les attaquants ont ensuite créé un nouveau compte administrateur nommé « sqladmin » pour maintenir l’accès à l’environnement, suivi de l’installation du framework de post-exploitation Sliver (agent.exe).
Sliver est un framework de post-exploitation développé par BishopFox qui a connu une utilisation accrue au cours des deux dernières années comme alternative à Cobalt Strike, qui est de plus en plus détecté par la protection des terminaux.
Une fois déployé, Sliver se reconnectera à un serveur de commande et de contrôle (C2) pour ouvrir un shell inversé ou attendre que les commandes s’exécutent sur l’hôte infecté.
La balise Sliver observée lors de l’attaque a été configurée pour se connecter à un C2 aux Pays-Bas. L’effet de champ a également identifié une adresse IP de sauvegarde avec le protocole RDP (Remote Desktop Protocol) activé.
Une fois la persistance établie, les attaquants se sont enfoncés plus profondément dans le réseau en compromettant le contrôleur de domaine (DC) à l’aide du même client RMM SimpleHelp et en créant un autre compte administrateur (« fpmhlttech »).
Au lieu de la porte dérobée, les attaquants ont installé un tunnel Cloudflare déguisé en Windows svchost.exe pour maintenir un accès furtif et contourner les contrôles de sécurité et les pare-feu.
Protéger SimpleHelp des attaques
Il est conseillé aux utilisateurs de SimpleHelp d’appliquer les mises à jour de sécurité disponibles qui traitent CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728 dès que possible. Pour plus d’informations, consultez le bulletin du fournisseur.
De plus, recherchez les comptes d’administrateur nommés « sqladmin » et « fpmhlttech », ou tout autre compte que vous ne reconnaissez pas, et recherchez les connexions aux adresses IP répertoriées dans le rapport de Field Effect.
En fin de compte, les utilisateurs doivent restreindre l’accès de SimpleHelp aux plages d’adresses IP de confiance pour empêcher tout accès non autorisé.