Tin tặc khai thác lỗ hổng SimpleHelp RMM để triển khai phần mềm độc hại Sliver

Các nhà nghiên cứu tại công ty an ninh mạng Field Effect (Canada) cảnh báo, tin tặc đang nhắm vào các máy RMM SimpleHelp client dễ bị tấn công để tạo tài khoản quản trị viên, cài đặt mã độc và có thể làm trung gian cho các cuộc tấn công bằng mã độc tống tiền.

Các lỗ hổng được theo dõi có mã định danh CVE-2024-57726, CVE-2024-57727 và CVE-2024-57728. Ba lỗ hổng này được báo cáo là có khả năng đã bị khai thác tích cực vào cuối tháng 01/2025. Tuy nhiên, Field Effect không thể xác nhận chắc chắn liệu các lỗ hổng này có được sử dụng hay không.

Các nhà nghiên cứu cho biết thêm, các lỗ hổng đang bị khai thác trong những cuộc tấn công gần đây và công bố báo cáo làm sáng tỏ hoạt động sau khi khai thác.

Ngoài ra, Field Effect đề cập rằng hoạt động được quan sát có dấu hiệu của các cuộc tấn công bằng mã độc tống tiền Akira, mặc dù họ không có đủ bằng chứng để đưa ra kết luận có độ tin cậy cao.

Nhắm mục tiêu SimpleHelp RMM

Cuộc tấn công bắt đầu khi tin tặc khai thác lỗ hổng trong ứng dụng SimpleHelp RMM client để thiết lập kết nối trái phép đến điểm cuối mục tiêu. Những kẻ tấn công kết nối từ IP 194[.]76[.]227[.]171, một máy chủ có trụ sở tại Estonia chạy phiên bản SimpleHelp trên cổng 80.

Sau khi kết nối qua RMM, kẻ tấn công nhanh chóng thực hiện một loạt lệnh dò quét để tìm hiểu thêm về môi trường mục tiêu, bao gồm thông tin chi tiết về hệ thống, mạng, người dùng, đặc quyền, tác vụ và dịch vụ theo lịch trình cũng như thông tin về Domain Controller.

Tận dụng khả năng truy cập và kỹ thuật tấn công mạng, tin tặc tiến hành tạo một tài khoản quản trị viên mới có tên “sqladmin” để duy trì quyền truy cập vào môi trường, sau đó cài đặt nền tảng khai thác Sliver (agent[.]exe). Sliver là một framework Post Exploitation (xảy ra sau quá trình xâm nhập), được sử dụng ngày càng nhiều trong vài năm qua như một giải pháp thay thế cho Cobalt Strike, vốn ngày càng được phát hiện bởi tính năng bảo vệ điểm cuối.

Khi được triển khai, Sliver sẽ kết nối trở lại với máy chủ điều khiển và ra lệnh (C2) để reverse shell hoặc chờ lệnh thực thi trên máy chủ bị nhiễm. Sliver beacon mà các nhà nghiên cứu quan sát thấy trong cuộc tấn công được cấu hình để kết nối với máy chủ C2 ở Hà Lan. Field Effect cũng xác định được một IP dự phòng có bật giao thức kết nối từ xa (RDP).

Sau khi đã duy trì được tính bền bỉ, kẻ tấn công tiến sâu hơn vào mạng bằng cách xâm nhập Domain Controller với cùng một ứng dụng SimpleHelp RMM client và tạo một tài khoản quản trị viên khác (“fpmhlttech”).

Thay vì sử dụng backdoor, kẻ tấn công đã cài đặt Cloudflare Tunnel và ngụy trang thành Windows svchost[.]exe để duy trì quyền truy cập ẩn cũng như vượt qua các biện pháp kiểm soát bảo mật và tường lửa.

Bảo vệ SimpleHelp khỏi các cuộc tấn công

Người dùng SimpleHelp được khuyến cáo nên áp dụng các bản cập nhật bảo mật có sẵn để giải quyết các lỗ hổng nói trên càng sớm càng tốt.

Ngoài ra, người dùng nên tìm kiếm các tài khoản quản trị viên có tên “sqladmin” và “fpmhlttech” hoặc bất kỳ tài khoản nào khác mà người dùng không nhận ra và tìm kiếm các kết nối đến các IP được liệt kê trong báo cáo của Field Effect.

Cuối cùng, người dùng nên hạn chế quyền truy cập SimpleHelp vào các dải IP đáng tin cậy để ngăn chặn truy cập trái phép.

Diễn biến liên quan

Sự phát triển này diễn ra khi công ty an ninh mạng Silent Push (Mỹ) tiết lộ rằng, họ đang chứng kiến sự gia tăng trong việc sử dụng phần mềm ScreenConnect RMM như một cách để tin tặc có thể truy cập và kiểm soát các điểm cuối của nạn nhân.

Những kẻ tấn công tiềm năng đã sử dụng kỹ nghệ xã hội để dụ nạn nhân cài đặt các bản sao phần mềm hợp pháp được cấu hình để hoạt động dưới sự kiểm soát của kẻ tấn công. Sau khi cài đặt, kẻ tấn công sử dụng trình cài đặt đã thay đổi để nhanh chóng truy cập vào các tệp của nạn nhân.