Field Effect ha recentemente identificato e sventato un sofisticato attacco in cui attori di minacce hanno sfruttato vulnerabilità nel client di Monitoraggio e Gestione Remota (RMM) di SimpleHelp per installare una backdoor chiamata Sliver. L’attacco è iniziato con l’attore della minaccia che si è connesso all’endpoint tramite il client RMM vulnerabile di SimpleHelp, chiamato JWrapper-Remote Access, da un indirizzo IP in Estonia.
Enumerazione di sistema
Una volta connesso, l’attore della minaccia ha eseguito diversi comandi per enumerare i dettagli del sistema, gli account utente e le informazioni di rete. Le politiche di monitoraggio automatico di Field Effect hanno rilevato questa attività, emesso una notifica di alta gravità e avviato un’indagine immediata e l’isolamento della rete dell’endpoint.
Creazione dell’account amministratore
Successivamente, l’attore della minaccia ha creato un nuovo account amministratore chiamato ‘sqladmin’ e lo ha utilizzato per installare una backdoor denominata agent.exe, che conteneva stringhe coerenti con lo strumento di post-exploitation Sliver. Questa backdoor aveva capacità come l’iniezione di processi, la manomissione dei servizi, l’esecuzione di comandi e processi, e la manipolazione del file system.
Consigli per proteggere i sistemi RMM
La rapida risposta di Field Effect ha impedito che l’attacco si evolvesse ulteriormente, evitando potenzialmente il dispiegamento di ransomware.
Ecco alcuni consigli utili per proteggere i sistemi di Monitoraggio e Gestione Remota (RMM) e prevenire attacchi simili:
1. Assicurati di aggiornare regolarmente il software RMM e tutte le applicazioni correlate per correggere eventuali vulnerabilità.
2. Implementa l’autenticazione a due fattori per accedere ai sistemi RMM, aggiungendo un ulteriore livello di sicurezza.
3. Utilizza strumenti di monitoraggio avanzati per rilevare attività sospette e anomalie nel sistema.
4. Limita l’accesso ai sistemi RMM solo agli utenti autorizzati e utilizza i privilegi minimi necessari per ogni account.
5. Educa il personale sulle pratiche di sicurezza informatica e su come riconoscere tentativi di phishing o altre attività malevole.
