Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Уязвимости в SimpleHelp RMM используются для взлома корпоративных сетей

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 01-26-2025, 08:44 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Специалисты считают, что недавно исправленные уязвимости в SimpleHelp Remote Monitoring and Management (RMM) используются злоумышленниками для получения первоначального доступа к сетям компаний.
Уязвимости CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 позволяют загружать и выгружать файлы, а также повышать привилегии до уровня администратора. Эти проблемы были недавно https://www.horizon3.ai/attack-resea...port-software/исследователями из компании Horizon3, после чего разработчики SimpleHelp выпустили патчи и исправленные версии 5.5.8, 5.4.10 и 5.3.9.
Как теперь сообщают аналитики https://arcticwolf.com/resources/blo...nitial-access/, свежими багами, похоже, уже начали пользоваться злоумышленники. Направленная на серверы SimpleHelp кампания началась примерно через неделю после того, как специалисты Horizon3 публично раскрыли информацию о проблемах.
«Хотя пока не подтверждено, что именно недавно раскрытые уязвимости связаны с наблюдаемой кампанией, Arctic Wolf настоятельно рекомендует обновить серверное ПО SimpleHelp до последних исправленных версий», — предупреждают исследователи.
Аналитики Arctic Wolf объясняют, что процесс SimpleHelp Remote Access.exe был запущен в фоновом режиме еще до атаки. То есть ранее SimpleHelp уже был установлен на устройствах для предоставления удаленной поддержки.
Первым признаком компрометации стало взаимодействие клиента SimpleHelp на целевом устройстве с посторонним сервером SimpleHelp. Судя по всему, для этого атакующие использовали уязвимости в SimpleHelp, чтобы получить контроль над клиентом, или задействовали украденные учетные данные.
Проникнув в организацию, атакующие выполняли команды типа net и nltest, чтобы собрать информацию, включая список учетных записей, группы, общие ресурсы и контроллеры домена, а также проверить подключение к Active Directory.
По словам экспертов, это выглядело как обычные шаги, предшествующие повышению привилегий и боковому перемещению. Однако вредоносная сессия прервалась до того, как удалось выяснить, что хакеры планировали делать дальше.
По информацииhttps://bsky.app/profile/shadowserve.../3lgqrmbn3i22a, в настоящее время в сети доступны около 580 уязвимых экземпляров SimpleHelp, большинство из которых (345) находятся в США.

https://xakep.ru/2025/01/29/simplehelp-attacks/
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 06:55 AM.

Contact Us - Carder.life - Archive - Top