近期資安研究人員發現,駭客正積極利用 SimpleHelp 遠端監控管理(RMM)軟體中的安全漏洞,作為發動勒索軟體攻擊的前哨。資安公司 Field Effect 最新研究報告指出,攻擊者透過這些已修補的漏洞,成功獲取並維持對目標網路的遠端存取權限。
漏洞細節與時間軸
- 涉及的漏洞編號為 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728
- 這些漏洞可能導致資訊洩露、權限提升和遠端程式碼執行
- SimpleHelp 已於 2025 年 1 月發布修補版本:5.3.9、5.4.10 和 5.5.8
攻擊手法分析
根據 Field Effect 的調查,攻擊者主要透過位於愛沙尼亞的 SimpleHelp RMM 實際案例(IP:194.76.227.171)進行入侵。攻擊流程包含:
- 建立遠端連接後進行網路偵察
- 建立名為「sqladmin」的管理員帳戶
- 部署開源框架 Sliver 以維持持續性
- 利用 Sliver 在網路內部進行橫向移動
- 嘗試建立 Cloudflare 通道,用於隱匿惡意流量
研究人員指出,這些戰術與 2023 年 5 月發現的
Akira 勒索軟體攻擊手法相似,但也可能是其他威脅行動者採用了類似技術。
防護建議
針對SimpleHelp 遠端監控管理(RMM)軟體使用者,專家建議應採取以下行動:
- 立即更新 RMM 客戶端至最新版本
- 導入適當的資安解決方案以防禦相關威脅
- 強化網路監控,及時發現可疑活動
此外,資安公司 Silent Push 也警告,駭客正透過社交工程手法,誘使受害者安裝經過惡意配置的合法
ScreenConnect RMM 軟體,藉此獲取受害者檔案的存取權限。這顯示 RMM 軟體已成為駭客覬覦的重要攻擊目標。
本文轉載自thehackernews。