勒索軟體DragonForce鎖定遠端管理工具SimpleHelp多項資安漏洞,針對一家託管服務供應商(Managed Service Provider,MSP)及其多個客戶發動大規模攻擊,導致部分企業遭遇資料加密與外洩風險。資安業者Sophos在事件調查報告指出,攻擊者可能利用SimpleHelp工具的漏洞進行橫向移動與大規模散播勒索軟體,同時竊取敏感資料,並採用雙重勒索方式,要求受害組織支付贖金以換取資料不被公開。
Sophos研究人員表示,攻擊者極可能利用2025年1月公開的SimpleHelp相關CVE漏洞,包括路徑走訪相關漏洞CVE-2024-57727、任意檔案上傳漏洞CVE-2024-57728及權限提升漏洞CVE-2024-57726。而攻擊行動從MSP架設的SimpleHelp遠端監控與管理(RMM)系統開始,攻擊者取得多個託管客戶環境的操作權限後,透過受控RMM平臺將經過竄改的SimpleHelp安裝程式,發布至多臺終端植入惡意軟體,使攻擊範圍橫跨多個組織。
DragonForce自2023年中開始活躍於勒索軟體即服務領域,近期積極調整組織策略,推動聯盟化與分散式攻擊。研究人員提到,DragonForce曾聲稱接管RansomHub等勒索組織的基礎設施,且包括Scattered Spider(UNC3944)等過去RansomHub聯盟成員,也曾利用DragonForce服務攻擊大型零售業。
MSP集中管理多家企業客戶IT基礎設施,因此一旦遠端管理系統遭入侵,攻擊者便可能以此為跳板滲透多個組織。MSP與企業應定期修補遠端管理工具的已知漏洞,強化存取控管與權限設定,避免使用共用或弱密碼,並對關鍵操作採多因素認證,另外,建立異常行為監控與事件通報機制,也助於減緩勒索軟體及橫向移動帶來的風險。Sophos已將該攻擊事件相關威脅指標(IOC)公開於GitHub,供業界參考檢測。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
2025-12-04