كشف فريق Zensec للأمن السيبراني عن أن جهات تهديدية استغلت ثغرات أمنية معروفة في منصة SimpleHelp Remote Monitoring and Management (RMM)، مسجلة تحت المعرفات CVE-2024-57726، CVE-2024-57727، CVE-2024-57728، بهدف الوصول إلى بيئات العملاء والتنفيذ الكامل لهجمات برمجيات الفدية Medusa وDragonForce.
كيفية استغلال الثغرات
أوضح التقرير أن المهاجمين تمكنوا من السيطرة على خوادم الطرف الثالث التي تعمل بصلاحيات SYSTEM على منصة RMM، ما منحهم قدرة كاملة على شبكات الضحايا. ومن ثم نفّذوا سلسلة من الإجراءات المنهجية:
-
نشر أدوات الاكتشاف والاستطلاع لتحديد مكونات الشبكة والأنظمة الحرجة.
-
تعطيل آليات الدفاع الأمني لضمان عدم اعتراض العمليات الضارة.
-
استخراج البيانات الحساسة باستخدام أدوات مثل RClone وRestic لنقلها إلى وجهات خارجية.
-
تشفير الأنظمة باستخدام برمجيات الفدية Medusa وDragonForce، ما أدى إلى شلل العمليات الداخلية للشركات المستهدفة.
خلفية وتداعيات الهجوم
تشير هذه الحوادث إلى أن منصات RMM تشكل هدفًا جذابًا للجهات الخبيثة، نظرًا لصلاحياتها العالية وقدرتها على إدارة شبكات المؤسسات عن بُعد. وعند استغلال الثغرات في هذه البنية، يمكن للمهاجمين اختراق ليس فقط الأنظمة المُدارة مباشرة، بل أيضًا الوصول إلى شبكات العملاء المرتبطة بها، ما يزيد من نطاق الأضرار المحتملة بشكل كبير.
وأكد خبراء الأمن أن مثل هذه الهجمات تبرز أهمية تحديث منصات RMM فور اكتشاف أي ثغرة، وتفعيل الرقابة على صلاحيات النظام، واعتماد سياسات تقليل الامتيازات (Least Privilege) للحد من قدرة المهاجم على الانتشار داخل الشبكة. كما يُوصى بتطبيق مراقبة مستمرة لنشاط الشبكة والنسخ الاحتياطي المشفر للتخفيف من تأثير الهجمات المستقبلية.
