DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities
2025/05/27 SecurityWeek — マルウェア対策企業 Sophos の警告によると、SimpleHelp インスタンスの脆弱性を悪用する攻撃者により、身元不明の MSP (managed service provider) と顧客が侵害され、DragonForceランサムウェアに感染したようだ。このランサムウェア攻撃者は、イニシャル・アクセスのために、リモート監視および管理 (RMM:remote monitoring and management) ソフトウェアの3つの脆弱性を連鎖的に利用したと、Sophos は考えている。
SimpleHelp の脆弱性 CVE-2024-57727/CVE-2024-57728/CVE-2024-57726 を悪用する攻撃者は、ログ・ファイル/コンフィグ・ファイル/認証情報を取得た後に高権限でログインし、ファイルのアップロードとコード実行を達成し、権限を管理者に昇格させて標的のシステムを完全に侵害できる。
2025年1月中旬の時点で SimpleHelp は、一連のソフトウェア脆弱性に対する修正プログラムをリリースしたが、その2週間後に脅威アクターたちは、パッチ未適用のインターネット上の SimpleHelp インスタンスを狙って、これらの脆弱性を連鎖的に悪用し始めた。
現時点における Sophos の分析は、匿名の MSP が顧客向けにホスティング/運用する、SimpleHelp 環境への不正アクセスのために、これら3つのセキュリティ欠陥が連鎖的に悪用された可能性が高いというものだ。
攻撃者は RMM を用いて、標的 MSP の顧客に関する情報を収集した。具体的には、デバイス名/コンフフィグ/ユーザー/ネットワーク接続などの情報であると、Sophos は述べている。その後に、この脅威アクターは機密情報を盗み出し、DragonForce ランサムウェアを展開し、MSP と顧客の双方に影響を与えた。
DragonForce ランサムウェア・グループが主張していたのは、英国の小売業者である Marks & Spencer (M&S)/Co-op/Harrods への攻撃である。その後に、米国の小売業者への攻撃に移行したと Google が警告したが、それまでの1か月間において大きな注目を集めていた。
DragonForce は RaaS として 2023年半ばから活動を開始し、別のランサムウェア・グループである RansomHub のインフラを乗っ取ったという。報道によると、Scattered Spider/RansomHub のアフィリエイトである、脅威アクター UNC3944 、最近の攻撃で DragonForce を使用しているとのことだ。
2024年11月に、米国の当局が、Scattered Spider のメンバー5人を訴追すると発表した。この措置は、同グループのリーダーとされる容疑者と、同グループのメンバーとされる人物が、昨年の夏に英国で逮捕されたことを受けてのものである。
SimpleHelp の脆弱性を悪用した攻撃が展開されているとのことです。ご利用のチームは、十分にご注意ください。また、DragonForce に関しては、2025/05/23 に「DragonForce が RansomHub を敵対的買収? 断片化されたサイバー犯罪グループ間の抗争が激化」という記事も投稿しています。よろしければ、以下の関連記事と併せて、ご参照ください。
2025/01/27:SimpleHelp の CVE-2024-57726 の悪用を観測
2025/01/14:SimpleHelp の CVE-2024-57726 などが FIX
IoT OT Security News 
You must be logged in to post a comment.