Se ha observado que los actores de amenaza explotan fallas de seguridad recientemente divulgadas en el software de monitoreo y gestión remota de SimpleHelp (RMM) como precursor de lo que parece ser un ataque de ransomware.
La intrusión aprovechó las vulnerabilidades ahora paradas para obtener acceso inicial y mantener el acceso remoto persistente a una red de objetivos no especificada, dijo el efecto de campo de la compañía de seguridad cibernética en un informe compartido con las noticias de los hackers.
«El ataque implicó la ejecución rápida y deliberada de varias tácticas, técnicas y procedimientos (TTP) posteriores a la compromiso, incluido el descubrimiento de redes y del sistema, la creación de cuentas de administrador y el establecimiento de mecanismos de persistencia, lo que podría haber llevado a la implementación de ransomware», Los investigadores de seguridad Ryan Slaney y Daniel Albrecht dijeron.
Las vulnerabilidades en cuestión, CVE-2024-57726, CVE-2024-57727 y CVE-2024-57728 fueron revelados por Horizon3.ai el mes pasado. La explotación exitosa de los agujeros de seguridad podría permitir la divulgación de información, la escalada de privilegios y la ejecución de código remoto.
Desde entonces, se han abordado en las versiones de SimpleHelp 5.3.9, 5.4.10 y 5.5.8 lanzados el 8 y 13 de enero de 2025.
Solo semanas después, Arctic Wolf dijo que observó una campaña que implicaba obtener acceso no autorizado a dispositivos que ejecutan un software de escritorio remoto SimpleHelp como un vector de acceso inicial.
Si bien no estaba claro en ese momento si estas vulnerabilidades se utilizaron, los últimos hallazgos de Field Effect confirman que están siendo armados activamente como parte de las cadenas de ataque de ransomware.
En el incidente analizado por la compañía canadiense de ciberseguridad, el acceso inicial se obtuvo a un punto final objetivo a través de una instancia vulnerable de SimpleHelp RMM («194.76.227 (.) 171») ubicada en Estonia.
Al establecer una conexión remota, se ha observado que el actor de amenaza realiza una serie de acciones posteriores a la explotación, incluidas las operaciones de reconocimiento y descubrimiento, así como la creación de una cuenta de administrador llamada «sqladmin» para facilitar el despliegue del marco de fragmentos de fuente abierta.
Posteriormente, la persistencia ofrecida por Sliver fue abusada para moverse lateralmente a través de la red, estableciendo una conexión entre el controlador de dominio (DC) y el cliente vulnerable de SimpleHelp RMM y, en última instancia, instalando un túnel de CloudFlare para enrutar sigilmente el tráfico a los servidores bajo el control del atacante a través de la Web a través de la web Infraestructura de la empresa de infraestructura.
Field Effect dijo que el ataque se detectó en esta etapa, evitando que el intento de ejecución del túnel tenga lugar y aislando el sistema de la red para garantizar un mayor compromiso.
En el caso de que el evento no fue marcado, el túnel CloudFlare podría haber servido como conducto para recuperar cargas útiles adicionales, incluido el ransomware. La compañía dijo que las tácticas se superponen con la de los ataques de ransomware Akira previamente reportados en mayo de 2023, aunque también es posible que otros actores de amenaza hayan adoptado la artesanía.
«Esta campaña demuestra solo un ejemplo de cómo los actores de amenaza están explotando activamente las vulnerabilidades de SimpleHelp RMM para obtener un acceso persistente no autorizado a las redes de interés», dijeron los investigadores. «Las organizaciones con exposición a estas vulnerabilidades deben actualizar a sus clientes RMM lo antes posible y considerar adoptar una solución de ciberseguridad para defenderse de las amenazas».
El desarrollo se produce cuando Silent Push reveló que está viendo un aumento en el uso del software RMM ScreenConnect en hosts a prueba de balas como una forma para que los actores de amenaza obtengan acceso y controlen los puntos finales de las víctimas.
«Los atacantes potenciales han estado utilizando la ingeniería social para atraer a las víctimas a instalar copias de software legítimas configuradas para operar bajo el control del actor de amenaza», dijo la compañía. «Una vez instalados, los atacantes usan el instalador alterado para obtener acceso rápidamente a los archivos de la víctima».