威胁行为者利用员工监控和 SimpleHelp 工具发起勒索软件攻击
HackerNews 编译,转载请注明出处: 网络犯罪分子越来越多地利用合法的管理软件发起攻击,这使得他们的恶意活动更难被发现。 这些行为者不再仅仅依赖定制的计算机病毒,而是滥用合法的员工监控工具来隐藏在企业网络中。 通过使用旨在跟踪员工生产力的软件,他们可以控制系统并窃取敏感数据,而不会触发标准的安全警报。 这种策略使他们能够融入正常的日常流量中,绕过通常用于拦截已知恶意程序的防御措施。 在最近的攻击活动中,主要使用的工具是“Net Monitor for Employees Professional”和“SimpleHelp”。 尽管这些应用程序是为提供有用的 IT 支持和员工监督而设计的,但黑客已经将其用于恶意目的。 Net Monitor for Employees Professional 控制台界面(来源:Huntress) 他们利用这些软件的强大功能(例如查看屏幕、管理文件和运行命令)来控制计算机。这实际上将一款标准的办公工具变成了远程控制网络的危险武器。 Huntress 分析师在 2026 年初发现了这种特定活动,并指出攻击者利用这些工具维持长期访问权限。 研究人员观察到,入侵者不仅监视用户,还积极地为更具破坏性的攻击做准备。 通过建立这种隐蔽的立足点,攻击者可以在 IT 团队不知情的情况下执行技术命令并禁用安全措施。 这种静默访问通常会导致尝试部署“Crazy”勒索软件(一种文件锁定病毒)以及窃取加密货币。 规避技术和持久性 攻击者竭力伪装其在受感染机器上的存在,以避免被清除。他们经常将恶意文件重命名,使其看起来像重要的 Microsoft 服务。 例如,监控代理通常注册为“OneDriveSvc”和“OneDriver.exe”之类的名称,试图欺骗用户,让他们误以为这是一个无害的云存储进程。 图片 时间线(来源:Huntress) 这个简单的技巧帮助恶意软件在不引起怀疑的情况下保持活跃。 为了进一步确保能够留在网络中,攻击者安装了 SimpleHelp 作为备用入口点。这种冗余机制意味着,即使其中一个工具被发现并移除,另一个工具也能让他们再次入侵。 他们还配置了该软件,使其监视屏幕上的特定词语,例如“钱包”或“币安”。这样,当用户打开银行应用程序时,他们就能立即收到警报,从而确保在最佳时机窃取资金。 为了防止此类攻击,企业必须严格限制哪些用户可以安装软件,并应在所有远程账户上强制执行多因素身份验证 (MFA)。 安全团队还应定期审核系统,查找未经授权的远程管理工具,并监控禁用防病毒程序的尝试。 最后,检查模仿合法服务的异常程序名称对于及早发现此类入侵至关重要。 消息来源:cybersecuritynews.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
SimpleHelp 重大漏洞:可导致文件窃取、权限提升和远程代码执行攻击
HackerNews 编译,转载请注明出处: 网络安全研究人员近日披露了SimpleHelp远程访问软件中的多个安全漏洞,这些漏洞可能导致信息泄露、权限提升和远程代码执行。 在一份详细阐述发现内容的技术报告中,Horizon3.ai研究员Naveen Sunkavally表示,“这些漏洞极易被逆向分析和利用。” 已确认的漏洞列表如下: CVE-2024-57727:一个未经身份验证的路径遍历漏洞,允许攻击者从SimpleHelp服务器下载任意文件,包括包含SimpleHelpAdmin账户和其他本地技术人员账户哈希密码的serverconfig.xml文件 CVE-2024-57728:一个任意文件上传漏洞,允许拥有SimpleHelpAdmin权限(或作为拥有管理员权限的技术人员)的攻击者在SimpleServer主机的任意位置上传任意文件,可能导致远程代码执行 CVE-2024-57726:一个权限提升漏洞,允许以低权限技术人员身份访问的攻击者利用后端授权检查缺失的问题,将其权限提升至管理员级别 在假设的攻击场景中,恶意行为者可以通过串联CVE-2024-57726和CVE-2024-57728漏洞,成为管理员用户并上传任意有效载荷,从而控制SimpleHelp服务器。 鉴于这三个漏洞的严重性和易于武器化的特点,Horizon3.ai表示将暂不公布其额外的技术细节。在2025年1月6日负责任地披露漏洞后,SimpleHelp已于1月8日和13日发布的5.3.9、5.4.10和5.5.8版本中修复了这些漏洞。 鉴于已知威胁行为者会利用远程访问工具建立对目标环境的持久远程访问,用户迅速应用补丁至关重要。 此外,SimpleHelp还建议用户更改SimpleHelp服务器的管理员密码,轮换技术人员账户的密码,并限制SimpleHelp服务器接受技术人员和管理员登录的IP地址。 消息来源:The Hacker News, 编译:zhongx; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文