【安全资讯】黑客利用SimpleHelp RMM漏洞入侵网络

概要：

近期，黑客利用SimpleHelp远程监控和管理（RMM）软件中的漏洞，试图入侵目标网络。这些漏洞的编号为CVE-2024-57726、CVE-2024-57727和CVE-2024-57728，允许攻击者在设备上下载和上传文件，并提升至管理员权限。此事件引发了对网络安全的广泛关注，尤其是在SimpleHelp发布修复补丁后不久，攻击活动便开始增加。

主要内容：

Horizon3的研究人员在两周前发现并披露了这些漏洞，SimpleHelp在1月8日至13日间发布了针对5.5.8、5.4.10和5.3.9版本的修复。然而，Arctic Wolf报告称，针对SimpleHelp服务器的攻击活动大约在漏洞公开后的一周内开始。尽管尚未确认这些攻击是否利用了已披露的漏洞，但Arctic Wolf对其观察结果持中等信心。

攻击者可能通过利用SimpleHelp的漏洞获取对客户端的控制，或使用被盗凭证劫持连接。一旦成功入侵，黑客便会执行cmd.exe命令，如'net'和'nltest'，以收集系统信息，包括用户账户、组、共享资源和域控制器的列表。这些步骤通常是进行权限提升和横向移动之前的常见操作。

Arctic Wolf指出，恶意会话在攻击者能够确定下一步行动之前就被切断。SimpleHelp用户被强烈建议升级至最新版本，以修复CVE-2024-57726、CVE-2024-57727和CVE-2024-57728漏洞。此外，若SimpleHelp客户端不再需要，建议将其从系统中卸载，以减少潜在的攻击面。