DragonForce利用SimpleHelp漏洞在终端部署勒索软件

攻击手法分析

DragonForce 勒索软件背后的威胁行为者入侵了某未具名托管服务提供商（MSP）的 SimpleHelp 远程监控与管理（RMM）工具，随后利用该工具窃取数据并在多个终端部署勒索程序。根据 Sophos 的分析，攻击者很可能利用了 2025 年 1 月披露的 SimpleHelp 三个安全漏洞（CVE-2024-57727、CVE-2024-57728 和 CVE-2024-57726）来访问 MSP 的 SimpleHelp 部署环境。

网络安全公司 Sophos 表示，其通过监测到 MSP 为客户托管运营的合法 SimpleHelp RMM 实例推送的可疑安装程序文件，从而发现了此次攻击事件。

供应链攻击影响

威胁行为者还利用 MSP 的 RMM 实例访问权限，从不同客户环境中收集设备名称、配置信息、用户数据及网络连接等敏感信息。虽然其中一名 MSP 客户成功切断了攻击者的网络访问，但其他下游客户仍遭受了数据窃取和勒索软件攻击，最终导致双重勒索（double-extortion）事件发生。

这起 MSP 供应链攻击事件揭示了一个犯罪组织的技术演进——该组织通过提供优厚的利润分成，已成为网络犯罪领域最有利可图的附属团伙选项之一。

勒索软件联盟模式

近几个月来，DragonForce 因重组为勒索软件"卡特尔"（cartel）并采用新型附属品牌模式而备受关注。该模式允许其他网络犯罪分子以不同名称创建自己的勒索软件变种。该卡特尔的出现恰逢 BlackLock 和 Mamona 勒索软件团伙运营的数据泄露网站遭篡改，以及去年 LockBit 和 BlackCat 消亡后崛起的知名电子犯罪团伙 RansomHub 疑似被"恶意接管"