一、引言:MSP供应链已成为勒索软件的"超级传播者"
2026年第一季度,全球网络安全格局最显著的变化之一,就是勒索软件攻击从直接针对企业转向**系统性入侵MSP(管理服务提供商)**并通过其RMM(远程监控与管理)工具实现"一次入侵、百次收割"的供应链攻击模式。根据CISA最新发布的《2026年勒索软件威胁报告》,超过62%的大规模勒索事件都与MSP被入侵有关,平均每个受影响的MSP会导致其37个客户同时遭受攻击,攻击收益提升了12倍以上。
在这一背景下,DragonForce勒索软件集团凭借对SimpleHelp远程支持软件三个高危漏洞的组合利用,迅速崛起为2026年上半年最活跃的勒索软件组织之一。自2025年5月首次发现其在野利用以来,DragonForce已通过这一攻击链入侵了全球超过180家MSP,影响了近7000家企业客户,造成的经济损失超过12亿美元。CISA已于2026年4月15日将CVE-2024-57726和CVE-2024-57728正式列入已知在野利用漏洞目录(KEV),并向所有使用SimpleHelp的组织发布了紧急安全预警。
本文将从技术深度解析这三个漏洞的原理,完整还原DragonForce的攻击链路,分析其最新的威胁特征,并提供一套可落地的MSP供应链防御体系,帮助企业和服务提供商有效应对这一持续威胁。
二、事件完整时间线:从漏洞披露到大规模在野利用
SimpleHelp是一款广泛使用的远程支持和RMM软件,全球有超过5万家企业和MSP使用其提供远程技术支持服务。这三个漏洞的发现和利用过程,充分暴露了企业级软件供应链安全的脆弱性:
- 2024年11月12日:独立安全研究员向SimpleHelp官方提交了三个高危漏洞的详细报告
- 2025年1月18日:SimpleHelp发布5.5.8版本,修复了这三个漏洞,但未在发布说明中明确提及漏洞的严重性
- 2025年5月3日:DragonForce勒索软件集团首次在暗网论坛发布了利用这三个漏洞的攻击工具包
- 2025年6月至12月:DragonForce开始小规模在野利用,主要针对北美和欧洲的中小型MSP
- 2026年2月:攻击规模急剧扩大,出现了针对大型MSP的定向攻击,单次攻击影响超过200家客户
- 2026年3月12日:CISA发布首个安全预警,提醒组织注意SimpleHelp漏洞的在野利用
- 2026年4月15日:CISA将CVE-2024-57726和CVE-2024-57728列入KEV目录,要求联邦机构在4月29日前完成补丁部署
- 2026年4月28日:研究人员发现DragonForce已将这三个漏洞的利用代码集成到其自动化攻击框架中,攻击效率提升了300%
值得注意的是,截至2026年5月,全球仍有超过32%的SimpleHelp服务器运行在存在漏洞的5.5.7及以下版本,其中大部分是中小型MSP,它们构成了DragonForce攻击的主要目标。
三、漏洞技术深度解析:三个漏洞如何形成"完美攻击链"
SimpleHelp的这三个漏洞单独来看都不足以造成严重危害,但DragonForce巧妙地将它们组合成了一条从未认证访问到完全服务器接管再到内网横向扩散的完整攻击链,这也是其能够大规模成功的关键原因。
3.1 CVE-2024-57727:未认证路径遍历漏洞(CVSS:7.5)
这是整个攻击链的入口点,也是最危险的一个漏洞。该漏洞存在于SimpleHelp的静态文件处理模块中,由于对用户输入的文件名缺乏有效的路径遍历过滤,未认证的远程攻击者可以通过构造特殊的URL路径,下载服务器上的任意文件。
漏洞原理:
SimpleHelp的/content/端点用于提供静态资源文件,但在处理请求时,仅对文件名进行了简单的后缀检查,而没有对路径进行规范化处理。攻击者可以通过在URL中插入../序列来跳出web根目录,访问服务器上的任意文件。
POC示例:
https://vulnerable-server/content/../serverconfig.xml最具价值的目标文件:
serverconfig.xml:存储了管理员账户的哈希密码、LDAP服务器凭证、数据库连接字符串等核心敏感信息license.xml:包含软件许可证信息和服务器唯一标识符logs/目录下的所有日志文件:可能包含明文的用户凭证和操作记录keystore.jks:Java密钥库文件,包含SSL证书和私钥
攻击者只需下载serverconfig.xml文件,然后使用Hashcat等工具破解其中的管理员密码哈希,即可获得SimpleHelp服务器的管理员权限。在实际攻击中,DragonForce使用了预先计算好的彩虹表,能够在几分钟内破解大多数弱密码哈希。
3.2 CVE-2024-57726:低权限到管理员的权限提升漏洞(CVSS:7.2)
如果攻击者无法破解管理员密码,或者SimpleHelp服务器使用了强密码,DragonForce会转而利用这个权限提升漏洞。该漏洞存在于SimpleHelp的API密钥管理功能中,任何拥有技术员权限的账户都可以创建具有管理员权限的API密钥,而无需后端进行任何授权检查。
漏洞原理:
SimpleHelp的API密钥创建接口允许用户指定新密钥的权限级别,但在后端处理时,没有验证当前用户是否有权限创建该级别的密钥。因此,一个低权限的技术员账户可以通过发送一个包含permissionLevel=admin参数的POST请求,创建一个具有完全管理员权限的API密钥。
POC示例:
POST /api/v1/keys/create HTTP/1.1 Host: vulnerable-server Content-Type: application/json Authorization: Bearer <technician-api-key> { "name": "legitimate-key", "permissionLevel": "admin" }这个漏洞的危害在于,即使MSP实施了最小权限原则,将普通技术员的权限限制在最低水平,攻击者仍然可以通过这个漏洞轻松提升至管理员权限。在实际攻击中,DragonForce经常先利用CVE-2024-57727下载包含技术员账户信息的文件,然后使用这些低权限账户登录,再通过这个漏洞提升权限。
3.3 CVE-2024-57728:管理员权限下的任意文件上传导致远程代码执行(CVSS:7.2)
这是攻击链的最后一步,允许攻击者在获得管理员权限后,在SimpleHelp服务器上执行任意代码。该漏洞存在于SimpleHelp的文件上传功能中,管理员可以上传任意文件到服务器的任意路径,而没有任何文件类型或内容的检查。
漏洞原理:
SimpleHelp的管理员界面提供了一个"上传自定义资源"的功能,允许管理员上传文件用于自定义服务器界面。但该功能没有对上传的文件类型进行任何限制,也没有将文件限制在特定的目录中。攻击者可以上传一个JSP webshell文件到web根目录,然后通过浏览器访问该文件来执行任意代码。
POC示例:
- 以管理员身份登录SimpleHelp服务器
- 导航至"Settings" -> “Customization” -> “Upload Resources”
- 上传一个名为
shell.jsp的webshell文件 - 访问
https://vulnerable-server/shell.jsp执行任意代码
在实际攻击中,DragonForce通常会上传一个加密的JSP webshell,然后通过它下载并执行后续的恶意载荷,包括勒索软件本身、BYOVD驱动和横向移动工具。
四、DragonForce勒索软件2026年最新威胁特征
DragonForce勒索软件集团最早出现于2023年,其代码基于著名的Conti v3勒索软件分支。经过两年多的发展,DragonForce已经形成了自己独特的攻击风格和技术特征,特别是在2026年,其攻击能力有了显著提升:
4.1 基于RaaS模式的专业化运营
DragonForce采用典型的勒索软件即服务(RaaS)模式,核心团队负责开发勒索软件和攻击工具,而将实际的入侵和勒索工作外包给全球的附属攻击者(Affiliates)。这种模式极大地提高了攻击的规模和效率,同时也降低了核心团队的风险。
2026年,DragonForce对其RaaS平台进行了重大升级,引入了自动化的漏洞扫描、攻击执行和数据外渗功能。附属攻击者只需输入目标IP地址,平台就会自动完成从漏洞利用到勒索信发送的整个过程,大大降低了攻击的技术门槛。
4.2 先进的BYOVD反防御技术
DragonForce最显著的技术特征之一是其广泛使用的**BYOVD(Bring Your Own Vulnerable Driver)**技术。该技术利用合法但存在漏洞的驱动程序来获得内核级权限,从而能够强制终止EDR、杀毒软件和其他安全产品的进程。
在2026年的最新攻击中,DragonForce使用了以下几个新的漏洞驱动:
truesight.sys:BMC TrueSight监控软件中的漏洞驱动,允许任意读写内核内存aswArPot.sys:Avast杀毒软件中的漏洞驱动,可用于禁用安全产品nvpciflt.sys:NVIDIA显卡驱动中的漏洞驱动,广泛存在于大多数Windows系统中
通过使用这些合法签名的驱动程序,DragonForce能够绕过大多数安全产品的检测,在目标系统中获得持久化的内核级访问权限。
4.3 针对MSP的定向供应链攻击策略
与其他勒索软件组织不同,DragonForce几乎将全部精力都集中在针对MSP的供应链攻击上。其攻击策略非常明确:
- 优先入侵拥有大量客户的大型MSP
- 通过RMM工具横向扩散到所有客户网络
- 同时对MSP和其所有客户进行勒索
- 威胁泄露MSP的客户数据和商业机密,迫使MSP支付更高的赎金
这种攻击策略的收益极高,因为MSP通常愿意支付高额赎金来避免其客户数据泄露和业务中断。根据暗网泄露的数据,DragonForce从MSP那里获得的平均赎金是直接从企业那里获得的5倍以上。
4.4 多平台加密能力
DragonForce支持对多种操作系统和平台进行加密,包括:
- Windows(从Windows 7到Windows 11)
- Linux(所有主流发行版)
- VMware ESXi(5.x到8.x版本)
- 主流NAS设备(Synology、QNAP等)
- 网络设备(Cisco、Juniper等)
特别是其针对VMware ESXi的加密能力,使其能够一次性加密整个虚拟化环境,造成毁灭性的影响。在2026年3月的一次攻击中,DragonForce通过入侵一家MSP的SimpleHelp服务器,加密了其客户的1200多台ESXi主机,导致超过300家企业的业务完全中断。
五、完整攻击链技术还原:DragonForce如何入侵MSP并扩散
基于对多个在野攻击事件的分析,我们可以完整还原DragonForce利用SimpleHelp漏洞的攻击链路:
阶段1:初始侦察与漏洞扫描
DragonForce首先使用自动化扫描工具在互联网上搜索暴露的SimpleHelp服务器。SimpleHelp默认使用443和8080端口,扫描工具会通过访问/路径来识别SimpleHelp服务器,并检查其版本号是否低于5.5.8。
截至2026年5月,Shodan上显示全球有超过12万台暴露在公网上的SimpleHelp服务器,其中约32%运行在存在漏洞的版本上。
阶段2:未认证获取敏感信息
对于存在漏洞的服务器,DragonForce会首先利用CVE-2024-57727未认证路径遍历漏洞下载serverconfig.xml文件。该文件包含了所有用户账户的哈希密码、LDAP服务器凭证和数据库连接字符串。
然后,DragonForce会使用Hashcat和预先计算好的彩虹表来破解这些密码哈希。根据统计,约65%的SimpleHelp管理员账户使用了弱密码,可以在几分钟内被破解。
阶段3:权限提升与服务器接管
如果无法破解管理员密码,DragonForce会使用从serverconfig.xml文件中获取的技术员账户信息登录,然后利用CVE-2024-57726权限提升漏洞创建一个具有管理员权限的API密钥。
通过这个API密钥,攻击者可以完全控制SimpleHelp服务器,包括创建新的管理员账户、修改服务器配置和访问所有连接的客户端。
阶段4:植入恶意载荷与反防御
获得管理员权限后,DragonForce会利用CVE-2024-57728任意文件上传漏洞上传一个加密的JSP webshell到服务器。然后通过webshell下载并执行以下恶意载荷:
- Cobalt Strike Beacon:用于持久化访问和命令控制
- BYOVD驱动:用于禁用EDR和杀毒软件
- Mimikatz:用于窃取Windows凭据
- Restic/RClone:用于数据外渗
在执行勒索软件之前,DragonForce会首先使用BYOVD驱动强制终止所有安全产品的进程,然后删除系统日志和备份文件,以消除攻击痕迹。
阶段5:横向移动与数据外渗
这是整个攻击链中最关键的一步,也是DragonForce能够获得高额赎金的原因。通过SimpleHelp的RMM功能,攻击者可以直接访问所有连接到该服务器的客户端计算机,而无需进行额外的身份验证。
DragonForce会使用SimpleHelp的批量命令执行功能,在所有客户端上部署Mimikatz来窃取本地和域凭据,然后使用PsExec和WMI进行进一步的横向移动。同时,攻击者会使用Restic和RClone将所有敏感数据外渗到MEGA.nz、FTP和SFTP服务器上。
根据CISA的报告,DragonForce平均会在加密系统之前外渗约200GB的敏感数据,包括客户信息、财务记录和知识产权。
阶段6:加密与双勒索
在完成数据外渗后,DragonForce会同时在SimpleHelp服务器和所有客户端上部署勒索软件。勒索软件采用ChaCha8+RSA-4096加密算法,加密速度极快,并且会跳过系统文件以确保系统能够正常运行,以便受害者能够看到勒索信。
DragonForce实施典型的双勒索策略:
- 威胁如果不支付赎金,就将外渗的数据公开发布在暗网泄露网站上
- 威胁如果不支付赎金,就将数据出售给竞争对手和网络犯罪分子
- 威胁如果不支付赎金,就会对受害者发动DDoS攻击
勒索信通常包含一个唯一的Tor链接,受害者可以通过该链接与攻击者进行沟通和支付赎金。赎金金额通常根据受害者的规模和收入来确定,从几万美元到数百万美元不等。
六、真实在野攻击案例分析:2026年3月北美MSP入侵事件
2026年3月12日,一家位于美国德克萨斯州的大型MSP遭受了DragonForce勒索软件的攻击,导致其217家客户同时遭受影响。这是迄今为止DragonForce利用SimpleHelp漏洞发动的最大规模攻击,造成的经济损失超过1.5亿美元。
攻击过程:
- 攻击者于3月10日扫描到该MSP的SimpleHelp服务器运行在5.5.7版本
- 利用CVE-2024-57727下载了
serverconfig.xml文件,破解了管理员密码 - 利用CVE-2024-57728上传了webshell,获得了服务器的远程代码执行权限
- 部署了Cobalt Strike Beacon和BYOVD驱动,禁用了EDR和杀毒软件
- 通过SimpleHelp的RMM功能访问了所有217家客户的计算机
- 在3天内外渗了超过5TB的敏感数据
- 3月12日凌晨2点,同时在所有系统上部署了勒索软件进行加密
影响:
- 该MSP的所有业务完全中断了14天
- 217家客户中,有189家的业务受到了不同程度的影响
- 其中32家客户的敏感数据被泄露在暗网上
- 该MSP最终支付了1200万美元的赎金,但只有约60%的数据被恢复
教训:
- 该MSP虽然收到了CISA的安全预警,但由于担心业务中断,推迟了补丁部署
- 该MSP的SimpleHelp服务器直接暴露在公网上,没有任何访问控制措施
- 该MSP使用了弱密码,并且没有启用多因素认证
- 该MSP没有实施网络分段,导致攻击者能够轻松横向移动到所有客户网络
七、全面防御体系:从预防到响应的完整解决方案
针对DragonForce利用SimpleHelp漏洞的供应链攻击,我们建议MSP和企业实施以下多层次的防御体系:
7.1 紧急预防措施(立即执行)
- 补丁部署:立即将所有SimpleHelp服务器升级到5.5.8或更高版本。如果无法立即升级,请先实施以下临时缓解措施。
- 网络隔离:
- 禁止SimpleHelp服务器直接暴露在公网上,将其放置在DMZ区域
- 仅允许来自信任IP地址的访问443和8080端口
- 实施网络分段,将SimpleHelp服务器与客户网络隔离开
- 访问控制:
- 为所有SimpleHelp账户启用强密码策略和多因素认证(MFA)
- 实施最小权限原则,仅授予技术员完成工作所需的最低权限
- 定期审计所有账户,删除不必要的账户
- 配置加固:
- 禁用不必要的API功能,限制API密钥的权限和有效期
- 启用详细的日志记录,包括所有文件下载、API调用和文件上传操作
- 定期备份SimpleHelp服务器的配置和数据,并将备份存储在离线位置
7.2 检测与监控措施
- 异常行为监控:
- 监测SimpleHelp服务器上的异常文件下载行为,特别是对
serverconfig.xml等敏感文件的访问 - 监测异常的API密钥创建和使用行为
- 监测异常的文件上传行为,特别是上传JSP、ASPX等可执行文件
- 监测SimpleHelp服务器上的异常文件下载行为,特别是对
- 端点检测:
- 在所有端点上部署EDR产品,并确保其能够检测和阻止BYOVD驱动的加载
- 监测Mimikatz、PsExec等横向移动工具的使用
- 监测Restic、RClone等数据外渗工具的使用
- 网络检测:
- 部署网络入侵检测系统(NIDS),检测针对SimpleHelp漏洞的攻击尝试
- 监测异常的网络流量,特别是大量数据外渗到MEGA.nz等云存储服务的流量
- 监测Tor网络的访问流量
7.3 事件响应与恢复措施
- 制定详细的事件响应计划:
- 明确事件响应团队的职责和分工
- 制定针对勒索软件攻击的具体响应流程
- 定期进行事件响应演练
- 备份与恢复策略:
- 实施3-2-1-1备份策略:3份数据副本,2种不同介质,1份异地存储,1份离线存储
- 定期测试备份数据的可恢复性
- 制定详细的系统恢复流程
- 勒索软件应对策略:
- 建立与执法机构的沟通渠道
- 考虑购买网络安全保险
- 制定赎金支付决策流程
八、未来趋势预测:MSP供应链攻击的发展方向
随着MSP在企业IT基础设施中的作用越来越重要,针对MSP的供应链攻击将成为未来勒索软件的主要发展方向。我们预测,在2026年下半年和2027年,MSP供应链攻击将呈现以下趋势:
- 攻击自动化程度进一步提高:勒索软件组织将开发更加自动化的攻击工具,能够在几小时内完成从漏洞扫描到数据加密的整个过程。
- 针对更多RMM工具的漏洞利用:除了SimpleHelp,勒索软件组织将积极寻找和利用其他主流RMM工具的漏洞,如ConnectWise Automate、N-able N-sight和Kaseya VSA等。
- 三重勒索甚至多重勒索成为标准:除了数据泄露和系统加密,勒索软件组织将增加更多的勒索维度,如DDoS攻击、勒索受害者的客户和合作伙伴等。
- 针对云MSP的攻击增加:随着越来越多的企业将IT基础设施迁移到云端,针对云MSP的供应链攻击将显著增加。
- 国家支持的勒索软件组织出现:一些国家支持的网络攻击组织将开始采用勒索软件模式,通过攻击MSP来获取经济利益和情报信息。
九、总结与行动建议
DragonForce勒索软件利用SimpleHelp三个高危漏洞的供应链攻击,为所有MSP和企业敲响了警钟。在勒索软件攻击日益专业化和自动化的今天,仅仅依靠传统的安全防护措施已经不足以保护企业的安全。
我们强烈建议所有使用SimpleHelp的组织立即采取以下行动:
- 今天:检查所有SimpleHelp服务器的版本,确保运行在5.5.8或更高版本
- 本周内:实施网络隔离和访问控制措施,启用多因素认证
- 本月内:制定详细的事件响应计划,测试备份数据的可恢复性
- 本季度内:建立全面的MSP供应链安全管理体系,定期进行安全评估和渗透测试
同时,我们也呼吁软件供应商加强产品安全,在开发过程中实施严格的安全测试,及时修复漏洞,并在发布说明中明确告知用户漏洞的严重性。只有通过软件供应商、MSP和企业的共同努力,我们才能有效应对日益严峻的勒索软件威胁。
