27 мая 2025 года специалисты Sophos MDR сообщили о расследовании целевой атаки на провайдера управляемых услуг (MSP), в ходе которой злоумышленники использовали уязвимости в платформе удаленного управления SimpleHelp. Эта атака примечательна тем, что затронула не только самого поставщика услуг, но и его клиентов, став наглядным примером компрометации цепочки поставок в ИТ-сфере.
Описание
В ходе расследования было установлено, что злоумышленники, по всей видимости, воспользовались сочетанием нескольких уязвимостей в системе SimpleHelp. Среди них - CVE-2024-57727, связанная с возможностью обхода ограничений доступа к файловой системе, CVE-2024-57728, позволяющая загружать произвольные файлы, и CVE-2024-57726, дающая возможность повышения привилегий в системе. Получив доступ к платформе удаленного управления, атакующие развернули вредоносное ПО DragonForce на множестве конечных точек, одновременно похитив конфиденциальные данные клиентов MSP.
Особую озабоченность экспертов вызывает активность DragonForce ransomware , которое впервые было обнаружено в середине 2023 года. Этот продвинутый инструмент класса ransomware-as-a-service (RaaS) недавно предпринял попытку ребрендинга, позиционируя себя как "киберпреступный картель". По данным аналитиков, группа заявила о захвате инфраструктуры другого известного ransomware-проекта - RansomHub, что свидетельствует о ее амбициях на рынке киберпреступных услуг.
Расследование показало, что злоумышленники не только развернули вредоносное ПО, но и тщательно изучили инфраструктуру MSP, собрав данные об устройствах клиентов, пользователях и сетевых подключениях.
Индикаторы компрометации
SHA256
- cee6a7663fad90c807c9f5ea8f689afd0e4ece04f8c55d7a047a7215db6be210
