Thread: Уязвимости в SimpleHelp RMM используются для взлома корпоративных сетей
View Single Post
  #1  
Old 01-26-2025, 08:44 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Специалисты считают, что недавно исправленные уязвимости в SimpleHelp Remote Monitoring and Management (RMM) используются злоумышленниками для получения первоначального доступа к сетям компаний.
Уязвимости CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 позволяют загружать и выгружать файлы, а также повышать привилегии до уровня администратора. Эти проблемы были недавно https://www.horizon3.ai/attack-resea...port-software/исследователями из компании Horizon3, после чего разработчики SimpleHelp выпустили патчи и исправленные версии 5.5.8, 5.4.10 и 5.3.9.
Как теперь сообщают аналитики https://arcticwolf.com/resources/blo...nitial-access/, свежими багами, похоже, уже начали пользоваться злоумышленники. Направленная на серверы SimpleHelp кампания началась примерно через неделю после того, как специалисты Horizon3 публично раскрыли информацию о проблемах.
«Хотя пока не подтверждено, что именно недавно раскрытые уязвимости связаны с наблюдаемой кампанией, Arctic Wolf настоятельно рекомендует обновить серверное ПО SimpleHelp до последних исправленных версий», — предупреждают исследователи.
Аналитики Arctic Wolf объясняют, что процесс SimpleHelp Remote Access.exe был запущен в фоновом режиме еще до атаки. То есть ранее SimpleHelp уже был установлен на устройствах для предоставления удаленной поддержки.
Первым признаком компрометации стало взаимодействие клиента SimpleHelp на целевом устройстве с посторонним сервером SimpleHelp. Судя по всему, для этого атакующие использовали уязвимости в SimpleHelp, чтобы получить контроль над клиентом, или задействовали украденные учетные данные.
Проникнув в организацию, атакующие выполняли команды типа net и nltest, чтобы собрать информацию, включая список учетных записей, группы, общие ресурсы и контроллеры домена, а также проверить подключение к Active Directory.
По словам экспертов, это выглядело как обычные шаги, предшествующие повышению привилегий и боковому перемещению. Однако вредоносная сессия прервалась до того, как удалось выяснить, что хакеры планировали делать дальше.
По информацииhttps://bsky.app/profile/shadowserve.../3lgqrmbn3i22a, в настоящее время в сети доступны около 580 уязвимых экземпляров SimpleHelp, большинство из которых (345) находятся в США.

https://xakep.ru/2025/01/29/simplehelp-attacks/