SimpleHelp RMM CVE-2024-57727

SimpleHelp — это популярная система удаленного мониторинга и управления (RMM), которую используют IT-провайдеры и системные администраторы для управления клиентскими сетями. Система позволяет удаленно подключаться к компьютерам, устанавливать обновления, мониторить состояние систем и решать проблемы без физического присутствия.

RMM-системы критически важны для современного IT-аутсорсинга — через них управляются тысячи endpoint'ов в корпоративных сетях. Именно поэтому компрометация RMM равносильна получению "мастер-ключа" ко всей IT-инфраструктуре клиента.

Трипл килл: CVE-2024-57726, CVE-2024-57727, CVE-2024-57728

В январе 2025 года были раскрыты сразу три критические уязвимости в SimpleHelp:
➡️CVE-2024-57726 — дополнительная уязвимость безопасности
➡️CVE-2024-57727 — path traversal уязвимость (основная)
➡️CVE-2024-57728 — еще одна критическая брешь

CVE-2024-57727 представляет собой path traversal уязвимость в SimpleHelp версий 5.5.7 и ранее. Path traversal позволяет атакующему "выйти" за пределы разрешенной директории, используя последовательности типа `../` для доступа к произвольным файлам системы.

❗️DragonForce
Главным эксплуататором этих уязвимостей стала группа DragonForce — не просто ransomware группировка, а целая "картельная модель" с франшизой для аффилиатов. Группа активно перестраивает ландшафт угроз после падения LockBit.

📌Связи DragonForce:
➡️Поглощение/взлом сайтов BlackLock, Mamona, RansomHub
➡️Подозрения в сотрудничестве с Scattered Spider
➡️Использование advanced техник социальной инженерии

💻Анатомия атаки на MSP
DragonForce провела sophisticated атаку на британского MSP-провайдера, используя следующую схему:

➡️Этап 1: Компрометация RMM
- Эксплуатация CVE-2024-57727 для получения доступа к SimpleHelp-серверу MSP
- Получение контроля над RMM-инфраструктурой

➡️Этап 2: Разведка и закрепление
- Пуш SimpleHelp-инсталлятора клиентам через легитимную RMM-инфраструктуру
- Сканирование инфраструктур клиентов: имена устройств, пользователей, сетевые соединения
- Использование Microsoft Quick Assist и бэкдора QDoor для бесшумного закрепления
- Пребывание в сети до 9 дней до активации шифровальщика

➡️Этап 3: Атака
- Развертывание шифровальщика и инструментов двойного вымогательства
- Использование визинга + email-бомбинга для дополнительного давления
- Массовые сбои и отключения IT в ритейле Великобритании

❗️Индикаторы компрометации (мини IoC)
CISA и исследователи выделяют следующие IoC:
➡️Исполняемые файлы с трехбуквенными именами (aaa.exe, bbb.exe, ccc.exe)
➡️Время создания файлов после января 2025 года
➡️Аномальный сетевой трафик от SimpleHelp сервера
➡️Присутствие Microsoft Quick Assist в неожиданных местах
➡️Следы QDoor бэкдора в системе

🔖Рекомендации по защите
0️⃣Обновление до версии 5.5.8+ — критически важно для всех инсталляций
1️⃣Изоляция SimpleHelp серверов от интернета до применения патча
2️⃣Аудит всех трех CVE (57726, 57727, 57728) в системе
3️⃣Проверка на QDoor и Quick Assist в неожиданных местах

❗️Для MSP и IT-провайдеров:
➡️Немедленный аудит всех клиентских подключений через SimpleHelp
➡️Проверка логов на подозрительную активность с января 2025
➡️Уведомление клиентов о необходимости threat hunting
➡️Временное отключение RMM-доступа до полной проверки

🕰Проверка компрометации:
➡️Поиск файлов с трехбуквенными именами, созданных после января 2025
➡️Анализ сетевого трафика на аномалии
➡️Проверка наличия Microsoft Quick Assist в системах, где он не должен быть
➡️Поиск следов QDoor бэкдора

Долгосрочные меры:
➡️Внедрение Zero Trust архитектуры для RMM-систем
➡️Сегментация сети между RMM и критическими системами
➡️Мониторинг всех RMM-подключений в реальном времени
➡️Создание incident response плана для RMM-компрометации

💬Выводы
CVE-2024-57727 и связанные уязвимости показывают, что в эпоху cloud-first и remote-first подходов, безопасность управляющих систем должна быть приоритетом номер один.

Vercel v0: От AI-помощника до инструмента киберпреступников

➡️ Что такое Vercel v0
Vercel v0 — это AI-инструмент от компании Vercel, который позволяет создавать веб-приложения и лендинги с помощью естественного языка. Пользователь вводит текстовый промпт, а v0 генерирует готовый код с использованием React, Tailwind CSS и других современных технологий. Инструмент предназначен для быстрого прототипирования и создания базовых веб-интерфейсов без глубоких знаний программирования.

➡️ Техническая эксплуатация в фишинговых атаках
Исследователи Okta обнаружили, что киберпреступники активно используют v0 для создания поддельных страниц входа. Злоумышленники генерируют копии логин-форм крупных сервисов простыми промптами типа "создай страницу входа Facebook" или "сделай форму авторизации Gmail".

➡️ Технические преимущества для атакующих:

➡️Скорость разработки: Создание фишингового сайта занимает минуты вместо часов
➡️Качество кода: AI генерирует современный, адаптивный код с правильной структурой
➡️Обход детекции: Сайты размещаются на доверенной инфраструктуре Vercel
➡️Низкий порог входа: Не требуются навыки веб-разработки

➡️ Методы размещения
Злоумышленники используют несколько тактик:
➡️Хостинг поддельных логотипов компаний на серверах Vercel для повышения доверия
➡️Создание поддоменов, имитирующих легитимные сервисы
➡️Интеграция с существующими фишинговыми инфраструктурами

➡️ Эволюция угрозы
Этот случай демонстрирует новый тренд — использование генеративного AI для автоматизации создания фишинговых ресурсов. В отличие от традиционных фишинг-китов, требующих технических навыков, AI-инструменты демократизируют создание качественных поддельных сайтов.

Vercel уже заблокировал доступ к обнаруженным фишинговым ресурсам, но проблема системная — любой AI-инструмент для веб-разработки может быть аналогично эксплуатирован.

🔗Источник

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK