DragonForce 勒索软件运营商将 SimpleHelp 中的3个漏洞链接起来,以托管服务提供商为目标开启了网络攻击活动
在过去的一个月里,DragonForce勒索软件组织在声称对英国零售商Marks & Spencer (M&S),Co-op,Harrods的攻击,以及Google警告将其重点转向美国零售商之后,获得了很多关注。
根据反恶意软件公司 Sophos 的警告,在威胁行为者利用易受攻击的 SimpleHelp 实例后,一家身份不明的托管服务提供商 (MSP) 及其客户感染了 DragonForce 勒索软件。
对于初始访问,Sophos 认为勒索软件运营商在远程监控和管理 (RMM) 软件中链接了三个漏洞。
这些漏洞被跟踪为 CVE-2024-57727、CVE-2024-57728 和 CVE-2024-57726,可让攻击者检索日志、配置文件和凭证;以高权限登录以上传文件和执行代码;并将他们的权限提升为管理员,从而完全损害目标系统。
SimpleHelp 在 1 月中旬发布了针对这三个软件缺陷的修复程序,两周后,威胁行为者开始将它们链接起来进行攻击,以攻击未修补的面向 Internet 的 SimpleHelp 实例。
现在,Sophos 表示,这三个安全漏洞很可能是链接在一起的,以访问未命名的 MSP 的 SimpleHelp 部署,该部署是 MSP 为其客户托管和作的。
Sophos 表示,攻击者使用 RMM 收集了 MSP 客户的信息,“收集设备名称和配置、用户和网络连接”。
威胁行为者还泄露了敏感信息并部署了 DragonForce 勒索软件,影响了 MSP 及其客户。
DragonForce 自 2023 年年中以来一直活跃,并以勒索软件即服务 (RaaS) 的形式运行,接管了 RansomHub 的基础设施。据报道,一个名为Scattered Spider和UNC3944的威胁行为者,曾经是RansomHub的附属公司,最近一直在使用DragonForce进行攻击。
2024 年 11 月,美国宣布对 Scattered Spider 的五名成员提出指控,此前该组织的嫌疑头目和一名据称是该团伙的成员去年夏天在英国被捕。
对于初始访问,Sophos 认为勒索软件运营商在远程监控和管理 (RMM) 软件中链接了三个漏洞。
这些漏洞被跟踪为 CVE-2024-57727、CVE-2024-57728 和 CVE-2024-57726,可让攻击者检索日志、配置文件和凭证;以高权限登录以上传文件和执行代码;并将他们的权限提升为管理员,从而完全损害目标系统。
SimpleHelp 在 1 月中旬发布了针对这三个软件缺陷的修复程序,两周后,威胁行为者开始将它们链接起来进行攻击,以攻击未修补的面向 Internet 的 SimpleHelp 实例。
现在,Sophos 表示,这三个安全漏洞很可能是链接在一起的,以访问未命名的 MSP 的 SimpleHelp 部署,该部署是 MSP 为其客户托管和作的。
Sophos 表示,攻击者使用 RMM 收集了 MSP 客户的信息,“收集设备名称和配置、用户和网络连接”。
威胁行为者还泄露了敏感信息并部署了 DragonForce 勒索软件,影响了 MSP 及其客户。
DragonForce 自 2023 年年中以来一直活跃,并以勒索软件即服务 (RaaS) 的形式运行,接管了 RansomHub 的基础设施。据报道,一个名为Scattered Spider和UNC3944的威胁行为者,曾经是RansomHub的附属公司,最近一直在使用DragonForce进行攻击。
2024 年 11 月,美国宣布对 Scattered Spider 的五名成员提出指控,此前该组织的嫌疑头目和一名据称是该团伙的成员去年夏天在英国被捕。
关于作者
评论1次
上传文件和执行代码之后,再将权限提升为管理员,这漏洞危害可不小啊。