Уязвимости в платформе SimpleHelp стали катализатором атак вымогателей Medusa и DragonForce

Атаки демонстрируют растущую проблему цепочек поставок в кибербезопасности. Компрометация сторонних RMM-серверов, работающих с привилегиями SYSTEM, позволила злоумышленникам получить полный контроль над сетями жертв. Впоследствии они развертывали инструменты разведки, отключали системы защиты, похищали данные через утилиты RClone и Restic и в конечном итоге шифровали файлы. Эти кампании подчеркивают критическую важность своевременного обновления программного обеспечения поставщиками услуг.

Платформа SimpleHelp предназначена для удаленного управления клиентскими устройствами и серверами. С января 2025 года множество инцидентов было связано с использованием уязвимых версий этого ПО. Патчи для обнаруженных уязвимости были оперативно выпущены разработчиком, который оценил их как критические. Однако несвоевременное обновление со стороны MSP привело к серьезным последствиям.

Группа Medusa провела скоординированную кампанию в первом квартале 2025 года, ориентируясь на организации Великобритании. Используя уязвимости SimpleHelp, злоумышленники получали первоначальный доступ через поставщиков услуг, а затем перемещались в сети конечных жертв. В половине случаев данные предварительно похищались с помощью RClone, о чем свидетельствовали аномальные всплески исходящего трафика. Впоследствии списки файлов появлялись на теневом сайте группы. Системы шифровались с добавлением расширения ".MEDUSA", а на зараженных машинах оставались файлы "!!!READ_ME_MEDUSA!!!.txt".

Группа DragonForce, относительно новый игрок на сцене киберпреступности, активизировалась во втором квартале 2025 года. Их методика также начиналась с компрометации SimpleHelp, после чего злоумышленники устанавливали дополнительные инструменты удаленного доступа, такие как AnyDesk, и создавали локальные учетные записи администраторов. Во всех наблюдаемых случаях данные эксфильтрировались с помощью инструмента Restic в S3-совместимые облачные хранилища. Файлы шифровались с расширением "*.dragonforce_encrypted", а их оригинальные имена маскировались случайными символами.

Анализ кампании Medusa показал, что во всех инцидентах первоначальный доступ осуществлялся через некорректно настроенные или необновленные экземпляры SimpleHelp. Поскольку сервис часто работает с привилегиями SYSTEM, злоумышленники могли беспрепятственно перемещаться вниз по цепочке поставок. Для выполнения полезной нагрузки в половине случаев использовались инструменты PDQ Inventory и PDQ Deploy, которые развертывали исполняемые файлы "Gaze.exe" или файлы с именами жертв.

Интересно, что PDQ Deploy применялся для запуска base64-кодированных PowerShell-команд, которые отключали Microsoft Defender и добавляли исключения. В остальных случаях нагрузка запускалась напрямую через SimpleHelp. Для обнаружения сетевых ресурсов злоумышленники использовали утилиту netscan.exe, что позволяло им выявлять критически важные активы, такие как файловые серверы и контроллеры домена.

Механизмы сохранения устойчивости (persistence) включали установку AnyDesk и в одном случае перенаправление клиентов SimpleHelp на сервер, контролируемый злоумышленниками. Эксперты отметили, что благодаря высоким привилегиям RMM дополнительные каналы управления часто не требовались. Процесс эксфильтрации данных через RClone сопровождался использованием фильтров для отбора файлов по возрасту и размеру, а конфигурационные файлы удалялись после завершения передачи.

Шифрование затрагивало большинство онлайн-систем в сетях жертв. Злоумышленники применяли различные техники обхода защиты, включая отключение Defender через PowerShell и использование драйвера, известного как Abyssworker. Группа Medusa практиковала двойной шантаж, размещая на своей площадке в даркнете доказательства хищения данных и угрожая их публикацией.

Кампания DragonForce имела схожие черты, но отличалась некоторыми техническими деталями. Например, для сбора учетных данных операторы выполняли скрипты Get-Veeam-Creds.ps1 на серверах резервного копирования Veeam. Это позволяло им получать доступ к критически важным системам. Инструмент Restic использовался для передачи данных в облачные хранилища, в частности в сервис wasabisys[.]com.

Процесс шифрования в случае DragonForce характеризовался целевым воздействием на файлы виртуальных машин Hyper-V. На зараженных системах оставалась универсальная записка "readme.txt" с инструкциями по связи через TOX ID. Группа также практиковала двойной шантаж, сначала размещая превью данных на блоге, а затем публикуя их на отдельной площадке.

Обе кампании демонстрируют растущую изощренность атак через цепочки поставок. Критически важным элементом защиты становится контроль за состоянием систем управляемых сервис-провайдеров. Организациям рекомендуется тщательно оценивать кибергигиену своих партнеров и внедрять строгие требования к обновлению ПО. Кроме того, необходимо реализовать сегментацию сетей и мониторинг аномальной активности, особенно связанной с использованием легитимных инструментов удаленного управления.

Эксперты подчеркивают, что современные угрозы требуют комплексного подхода к безопасности. Проактивное обнаружение аномалий в работе RMM-систем, анализ сетевого трафика и строгий контроль привилегий могут значительно снизить риски успешных атак. Особое внимание следует уделять мониторингу действий, связанных с отключением систем защиты и использованием инструментов для эксфильтрации данных.

IPv4

• 179.60.146.40
• 213.183.63.41
• 91.191.209.110

SHA256

• 89d473ad486e144f3c71ad95ed6016248613fc33d76792e8632206cea86ecfdd
• 98394683d8f30ce9fb313100f593dc16e97a52723b18d534cf586391a97cdc1d
• aea8f85e569443a8c00b94fa19b5155b9122183f05bedfdcdccd1d18451760fd
• b7703a59c39a0d2f7ef6422945aaeaaf061431af0533557246397551b8eed505
• df6cb5199c272c491b3a7ac44df6c4c279d23f7c09daed758c831b26732a4851
• e414f781c73f6984158f5d12af9f89c57d993e8db0322ebc0da346179a8b9e2d