SimpleHelp RMMの脆弱性の悪用を検出: CISAがパッチ未適用の欠陥を悪用する脅威アクターによる持続的アクセスとランサムウェア展開の警告
目次:
サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、SimpleHelpのリモートモニタリングおよびマネジメント(RMM)ソフトウェアの未修正の脆弱性を悪用するランサムウェアの攻撃者について警告を発し、2025年初頭以来、組織を侵害するためにますます使用される戦術であることを通知しました。
今年、NISTによりすでに21,000を超える新しいCVEが記録されており、サイバーセキュリティチームは先を行くために増大する圧力にさらされています。特に ランサムウェア グループにおいて、脆弱性のエクスプロイトは主要な攻撃ベクターであり続けています。CISAが強調した最近のインシデントがこの傾向を裏付けています:攻撃者はSimpleHelp RMMの脆弱性(CVE-2024-57726, CVE-2024-57727, CVE-2024-57728)を活用し、DragonForceランサムウェアを展開し、感度の高いデータを外部に漏洩させ、 二重恐喝戦術 を使って影響を最大化しました。
ランサムウェア配布のためのSimpleHelp RMM脆弱性のエクスプロイトを検出
Sophosによれば、平均的なランサムウェアの復旧費用は2024年に2.73百万ドルに急騰し、前年から500%の増加となり、ランサムウェアの攻撃者がソフトウェアの脆弱性を頻繁に悪用(2025年末までに49,000を超えると予測)していることが示されています。この急激な増加は、サイバー攻撃の経済的影響が増大していることと、積極的な防御戦略の緊急性を裏付けています。SimpleHelp RMMの脆弱性を活用している攻撃のような脅威に先行するためには、サイバー防御者はタイムリーで信頼性の高い脅威インテリジェンスと行動可能な検出コンテンツが必要です。
SOC Primeプラットフォームに登録 して、ランサムウェア配布のためのSimpleHelp RMM脆弱性のエクスプロイトに関するSigmaルールの専用コレクションにアクセスしてください。キュレーションされた検出コンテンツは、AIによる検出エンジニアリング、自動脅威ハンティング、高度な脅威検出の完全な製品スイートによってサポートされています。下の 検出を探る ボタンを押すだけで、関連するコンテンツスタックにすぐにアクセスできます。
セキュリティ専門家は、幅広い”CVE“タグを使用して脆弱性エクスプロイトの検出ルールの幅広いコレクションを探索することもできますし、世界中のランサムウェア攻撃を網羅する検出ルールのセットにアクセスするために”ランサムウェア“タグを適用することもできます。
SOC Primeプラットフォームのすべてのルールは、複数のSIEM、EDR、およびData Lakeソリューションと互換性があり、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、各ルールには、脅威インテル の参照、攻撃のタイムライン、トリアージ推奨事項などの詳細なメタデータがパックされています。 references, attack timelines, triage recommendations, and more.
その上で、セキュリティ専門家は、 Uncoder AI を使用して、脅威に情報を基にした検出エンジニアリングのためのプライベートIDE & コパイロットを使い、脅威レポートから検出アルゴリズムを生成し、高速IOCスイープを性能最適化されたクエリに実施し、ATT&CKタグを予測し、AIのヒントでクエリコードを最適化し、複数のSIEM、EDR、およびData Lake言語に横断的に翻訳します。
SimpleHelpソフトウェアのエクスプロイト:攻撃の背後にあるもの
Sophos は最近、MSPに関与する標的型攻撃を調査し、攻撃者が初期攻撃段階でプロバイダーのSimpleHelp RMMツールを侵害するという内容でした。攻撃者はさらにDragonForceランサムウェアを複数のシステムに展開し、機密データを盗み、被害者に支払いを迫るために二重恐喝戦略を実行しました。
Sophosは、攻撃者が CVE-2024-57727、複数のパストラバーサルの脆弱性、 CVE-2024-57728、任意のファイルアップロードの脆弱性、 CVE-2024-57726、特権の権限昇格の脆弱性を含む脆弱性のチェーンを活用したと述べています。
DragonForceは、2023年半ばに浮上した洗練された RaaS 運営であり、研究者によれば、グループは2025年3月に「カルテル」として再ブランド化を始め、より広範な脅威のアクターを引き付けるために分散型アフィリエイトモデルにシフトしました。この再配置により、グループのプロフィールが大幅に向上しました。DragonForceは最近、以前のRansomHubに関連付けられていたインフラストラクチャを掌握したと主張しており、現在では高名なランサムウェアの管理者、例えばScattered Spider(UNC3944)を含む者に使用されていると報じられています。このグループは以前はRansomHubと関連付けられており、英国および米国の主要な小売チェーンへの攻撃と結びついています。 DragonForceランサムウェアのペイロードを使用して。, and is now reportedly being used by high-profile ransomware maintainers, including Scattered Spider (UNC3944). This group, previously associated with RansomHub, has been linked to attacks on major retail chains in both the UK and the US using the DragonForce ransomware payload.
Sophosは、MSPの正当なRMMインスタンスを介して配布された疑わしいSimpleHelpインストーラーを検出した後にこのキャンペーンを発見しました。攻撃者はターゲットのRMMを通じて多様な顧客環境でデータを収集しました。あるMSPのクライアントはランサムウェアとデータ盗難を阻止することができました。しかし、他のクライアントはランサムウェアの配布とデータの漏洩による影響を受けました。
2025年6月12日に、 CISAはアドバイザリを発表しました 、ランサムウェアの攻撃者がSimpleHelp RMMソフトウェアの未修正の脆弱性を悪用して公共料金請求プロバイダーの顧客を侵害したことに対応しました。DragonForceのハッカーはおそらくCVE-2024-57727を武器化し、未パッチのSimpleHelp RMMエンティティを標的としてサービスの中断と二重の恐喝攻撃を行ったとみられています。
SimpleHelpのバージョン5.5.7およびそれ以前は、上記のCVE-2024-57727を含む複数のセキュリティの欠陥を含んでいます。特に、CISAは2025年2月13日にCVE-2024-57727をそのKEVカタログに追加しました。
CISAは、一部の未修正のSimpleHelp RMMソフトウェアを利用することによる潜在的なランサムウェア攻撃に対し、確認された被害例または重大なエクスプロイトのリスクがあるため、迅速に緩和策の適用を強く勧告しています。SimpleHelpがベンダーソフトウェアに組み込まれている、あるいはサードパーティプロバイダーによって使用されている場合、防御者はサーバーの serverconfig.xml ファイル内のバージョンを特定するよう推奨しています。2025年1月以来、バージョン5.5.7またはそれ以前が使用されている場合、ベンダーはSimpleHelpサーバーを隔離またはシャットダウンし、SimpleHelpのセキュリティアドバイザリ に従って最新バージョンに迅速に更新し、下流の顧客に通知し、エンドポイントを保護し、脅威ハンティングを開始するよう推奨します。さらに、緩和策には最新のアセットインベントリーの維持、オフラインで切断されたストレージデバイスへの定期的なシステムバックアップの実施、RMMソフトウェアに関連するリスクの継続的な評価、サードパーティプロバイダーによって実施されたセキュリティコントロールの検証が含まれます。, notify downstream customers, and advise them to secure endpoints and initiate threat hunting. In addition, mitigation measures include maintaining an up-to-date asset inventory and ensuring regular system backups to offline, disconnected storage devices, continuously assessing the risks associated with RMM software, and verifying the security controls implemented by third-party providers.
防御者は、SimpleHelp RMMインスタンスを対象としたこの攻撃が特に危険であると判断しており、インフラストラクチャオペレーターとエンドユーザー間の重要なリンクとして機能する公共料金請求ソフトウェアプロバイダーに焦点を当てています。これらの高価値の中間体に対する二重恐喝戦術の使用は、キャンペーンの高度な性質と、積極的で多層的なサイバーセキュリティ対策の緊急性を強調しています。 SOC Primeの完全な製品スイート AI、自動化、ライブ脅威インテルによってバックアップされているおかげで、組織はどんな洗練された脅威も積極的に特定し、攻撃を早期段階で予防できます。
