一、引言MSP供应链已成为勒索软件的超级传播者2026年第一季度全球网络安全格局最显著的变化之一就是勒索软件攻击从直接针对企业转向**系统性入侵MSP管理服务提供商**并通过其RMM远程监控与管理工具实现一次入侵、百次收割的供应链攻击模式。根据CISA最新发布的《2026年勒索软件威胁报告》超过62%的大规模勒索事件都与MSP被入侵有关平均每个受影响的MSP会导致其37个客户同时遭受攻击攻击收益提升了12倍以上。在这一背景下DragonForce勒索软件集团凭借对SimpleHelp远程支持软件三个高危漏洞的组合利用迅速崛起为2026年上半年最活跃的勒索软件组织之一。自2025年5月首次发现其在野利用以来DragonForce已通过这一攻击链入侵了全球超过180家MSP影响了近7000家企业客户造成的经济损失超过12亿美元。CISA已于2026年4月15日将CVE-2024-57726和CVE-2024-57728正式列入已知在野利用漏洞目录KEV并向所有使用SimpleHelp的组织发布了紧急安全预警。本文将从技术深度解析这三个漏洞的原理完整还原DragonForce的攻击链路分析其最新的威胁特征并提供一套可落地的MSP供应链防御体系帮助企业和服务提供商有效应对这一持续威胁。二、事件完整时间线从漏洞披露到大规模在野利用SimpleHelp是一款广泛使用的远程支持和RMM软件全球有超过5万家企业和MSP使用其提供远程技术支持服务。这三个漏洞的发现和利用过程充分暴露了企业级软件供应链安全的脆弱性2024年11月12日独立安全研究员向SimpleHelp官方提交了三个高危漏洞的详细报告2025年1月18日SimpleHelp发布5.5.8版本修复了这三个漏洞但未在发布说明中明确提及漏洞的严重性2025年5月3日DragonForce勒索软件集团首次在暗网论坛发布了利用这三个漏洞的攻击工具包2025年6月至12月DragonForce开始小规模在野利用主要针对北美和欧洲的中小型MSP2026年2月攻击规模急剧扩大出现了针对大型MSP的定向攻击单次攻击影响超过200家客户2026年3月12日CISA发布首个安全预警提醒组织注意SimpleHelp漏洞的在野利用2026年4月15日CISA将CVE-2024-57726和CVE-2024-57728列入KEV目录要求联邦机构在4月29日前完成补丁部署2026年4月28日研究人员发现DragonForce已将这三个漏洞的利用代码集成到其自动化攻击框架中攻击效率提升了300%值得注意的是截至2026年5月全球仍有超过32%的SimpleHelp服务器运行在存在漏洞的5.5.7及以下版本其中大部分是中小型MSP它们构成了DragonForce攻击的主要目标。三、漏洞技术深度解析三个漏洞如何形成完美攻击链SimpleHelp的这三个漏洞单独来看都不足以造成严重危害但DragonForce巧妙地将它们组合成了一条从未认证访问到完全服务器接管再到内网横向扩散的完整攻击链这也是其能够大规模成功的关键原因。3.1 CVE-2024-57727未认证路径遍历漏洞CVSS:7.5这是整个攻击链的入口点也是最危险的一个漏洞。该漏洞存在于SimpleHelp的静态文件处理模块中由于对用户输入的文件名缺乏有效的路径遍历过滤未认证的远程攻击者可以通过构造特殊的URL路径下载服务器上的任意文件。漏洞原理SimpleHelp的/content/端点用于提供静态资源文件但在处理请求时仅对文件名进行了简单的后缀检查而没有对路径进行规范化处理。攻击者可以通过在URL中插入../序列来跳出web根目录访问服务器上的任意文件。POC示例https://vulnerable-server/content/../serverconfig.xml最具价值的目标文件serverconfig.xml存储了管理员账户的哈希密码、LDAP服务器凭证、数据库连接字符串等核心敏感信息license.xml包含软件许可证信息和服务器唯一标识符logs/目录下的所有日志文件可能包含明文的用户凭证和操作记录keystore.jksJava密钥库文件包含SSL证书和私钥攻击者只需下载serverconfig.xml文件然后使用Hashcat等工具破解其中的管理员密码哈希即可获得SimpleHelp服务器的管理员权限。在实际攻击中DragonForce使用了预先计算好的彩虹表能够在几分钟内破解大多数弱密码哈希。3.2 CVE-2024-57726低权限到管理员的权限提升漏洞CVSS:7.2如果攻击者无法破解管理员密码或者SimpleHelp服务器使用了强密码DragonForce会转而利用这个权限提升漏洞。该漏洞存在于SimpleHelp的API密钥管理功能中任何拥有技术员权限的账户都可以创建具有管理员权限的API密钥而无需后端进行任何授权检查。漏洞原理SimpleHelp的API密钥创建接口允许用户指定新密钥的权限级别但在后端处理时没有验证当前用户是否有权限创建该级别的密钥。因此一个低权限的技术员账户可以通过发送一个包含permissionLeveladmin参数的POST请求创建一个具有完全管理员权限的API密钥。POC示例POST /api/v1/keys/create HTTP/1.1 Host: vulnerable-server Content-Type: application/json Authorization: Bearer technician-api-key { name: legitimate-key, permissionLevel: admin }这个漏洞的危害在于即使MSP实施了最小权限原则将普通技术员的权限限制在最低水平攻击者仍然可以通过这个漏洞轻松提升至管理员权限。在实际攻击中DragonForce经常先利用CVE-2024-57727下载包含技术员账户信息的文件然后使用这些低权限账户登录再通过这个漏洞提升权限。3.3 CVE-2024-57728管理员权限下的任意文件上传导致远程代码执行CVSS:7.2这是攻击链的最后一步允许攻击者在获得管理员权限后在SimpleHelp服务器上执行任意代码。该漏洞存在于SimpleHelp的文件上传功能中管理员可以上传任意文件到服务器的任意路径而没有任何文件类型或内容的检查。漏洞原理SimpleHelp的管理员界面提供了一个上传自定义资源的功能允许管理员上传文件用于自定义服务器界面。但该功能没有对上传的文件类型进行任何限制也没有将文件限制在特定的目录中。攻击者可以上传一个JSP webshell文件到web根目录然后通过浏览器访问该文件来执行任意代码。POC示例以管理员身份登录SimpleHelp服务器导航至Settings - “Customization” - “Upload Resources”上传一个名为shell.jsp的webshell文件访问https://vulnerable-server/shell.jsp执行任意代码在实际攻击中DragonForce通常会上传一个加密的JSP webshell然后通过它下载并执行后续的恶意载荷包括勒索软件本身、BYOVD驱动和横向移动工具。四、DragonForce勒索软件2026年最新威胁特征DragonForce勒索软件集团最早出现于2023年其代码基于著名的Conti v3勒索软件分支。经过两年多的发展DragonForce已经形成了自己独特的攻击风格和技术特征特别是在2026年其攻击能力有了显著提升4.1 基于RaaS模式的专业化运营DragonForce采用典型的勒索软件即服务RaaS模式核心团队负责开发勒索软件和攻击工具而将实际的入侵和勒索工作外包给全球的附属攻击者Affiliates。这种模式极大地提高了攻击的规模和效率同时也降低了核心团队的风险。2026年DragonForce对其RaaS平台进行了重大升级引入了自动化的漏洞扫描、攻击执行和数据外渗功能。附属攻击者只需输入目标IP地址平台就会自动完成从漏洞利用到勒索信发送的整个过程大大降低了攻击的技术门槛。4.2 先进的BYOVD反防御技术DragonForce最显著的技术特征之一是其广泛使用的**BYOVDBring Your Own Vulnerable Driver**技术。该技术利用合法但存在漏洞的驱动程序来获得内核级权限从而能够强制终止EDR、杀毒软件和其他安全产品的进程。在2026年的最新攻击中DragonForce使用了以下几个新的漏洞驱动truesight.sysBMC TrueSight监控软件中的漏洞驱动允许任意读写内核内存aswArPot.sysAvast杀毒软件中的漏洞驱动可用于禁用安全产品nvpciflt.sysNVIDIA显卡驱动中的漏洞驱动广泛存在于大多数Windows系统中通过使用这些合法签名的驱动程序DragonForce能够绕过大多数安全产品的检测在目标系统中获得持久化的内核级访问权限。4.3 针对MSP的定向供应链攻击策略与其他勒索软件组织不同DragonForce几乎将全部精力都集中在针对MSP的供应链攻击上。其攻击策略非常明确优先入侵拥有大量客户的大型MSP通过RMM工具横向扩散到所有客户网络同时对MSP和其所有客户进行勒索威胁泄露MSP的客户数据和商业机密迫使MSP支付更高的赎金这种攻击策略的收益极高因为MSP通常愿意支付高额赎金来避免其客户数据泄露和业务中断。根据暗网泄露的数据DragonForce从MSP那里获得的平均赎金是直接从企业那里获得的5倍以上。4.4 多平台加密能力DragonForce支持对多种操作系统和平台进行加密包括Windows从Windows 7到Windows 11Linux所有主流发行版VMware ESXi5.x到8.x版本主流NAS设备Synology、QNAP等网络设备Cisco、Juniper等特别是其针对VMware ESXi的加密能力使其能够一次性加密整个虚拟化环境造成毁灭性的影响。在2026年3月的一次攻击中DragonForce通过入侵一家MSP的SimpleHelp服务器加密了其客户的1200多台ESXi主机导致超过300家企业的业务完全中断。五、完整攻击链技术还原DragonForce如何入侵MSP并扩散基于对多个在野攻击事件的分析我们可以完整还原DragonForce利用SimpleHelp漏洞的攻击链路阶段1初始侦察与漏洞扫描DragonForce首先使用自动化扫描工具在互联网上搜索暴露的SimpleHelp服务器。SimpleHelp默认使用443和8080端口扫描工具会通过访问/路径来识别SimpleHelp服务器并检查其版本号是否低于5.5.8。截至2026年5月Shodan上显示全球有超过12万台暴露在公网上的SimpleHelp服务器其中约32%运行在存在漏洞的版本上。阶段2未认证获取敏感信息对于存在漏洞的服务器DragonForce会首先利用CVE-2024-57727未认证路径遍历漏洞下载serverconfig.xml文件。该文件包含了所有用户账户的哈希密码、LDAP服务器凭证和数据库连接字符串。然后DragonForce会使用Hashcat和预先计算好的彩虹表来破解这些密码哈希。根据统计约65%的SimpleHelp管理员账户使用了弱密码可以在几分钟内被破解。阶段3权限提升与服务器接管如果无法破解管理员密码DragonForce会使用从serverconfig.xml文件中获取的技术员账户信息登录然后利用CVE-2024-57726权限提升漏洞创建一个具有管理员权限的API密钥。通过这个API密钥攻击者可以完全控制SimpleHelp服务器包括创建新的管理员账户、修改服务器配置和访问所有连接的客户端。阶段4植入恶意载荷与反防御获得管理员权限后DragonForce会利用CVE-2024-57728任意文件上传漏洞上传一个加密的JSP webshell到服务器。然后通过webshell下载并执行以下恶意载荷Cobalt Strike Beacon用于持久化访问和命令控制BYOVD驱动用于禁用EDR和杀毒软件Mimikatz用于窃取Windows凭据Restic/RClone用于数据外渗在执行勒索软件之前DragonForce会首先使用BYOVD驱动强制终止所有安全产品的进程然后删除系统日志和备份文件以消除攻击痕迹。阶段5横向移动与数据外渗这是整个攻击链中最关键的一步也是DragonForce能够获得高额赎金的原因。通过SimpleHelp的RMM功能攻击者可以直接访问所有连接到该服务器的客户端计算机而无需进行额外的身份验证。DragonForce会使用SimpleHelp的批量命令执行功能在所有客户端上部署Mimikatz来窃取本地和域凭据然后使用PsExec和WMI进行进一步的横向移动。同时攻击者会使用Restic和RClone将所有敏感数据外渗到MEGA.nz、FTP和SFTP服务器上。根据CISA的报告DragonForce平均会在加密系统之前外渗约200GB的敏感数据包括客户信息、财务记录和知识产权。阶段6加密与双勒索在完成数据外渗后DragonForce会同时在SimpleHelp服务器和所有客户端上部署勒索软件。勒索软件采用ChaCha8RSA-4096加密算法加密速度极快并且会跳过系统文件以确保系统能够正常运行以便受害者能够看到勒索信。DragonForce实施典型的双勒索策略威胁如果不支付赎金就将外渗的数据公开发布在暗网泄露网站上威胁如果不支付赎金就将数据出售给竞争对手和网络犯罪分子威胁如果不支付赎金就会对受害者发动DDoS攻击勒索信通常包含一个唯一的Tor链接受害者可以通过该链接与攻击者进行沟通和支付赎金。赎金金额通常根据受害者的规模和收入来确定从几万美元到数百万美元不等。六、真实在野攻击案例分析2026年3月北美MSP入侵事件2026年3月12日一家位于美国德克萨斯州的大型MSP遭受了DragonForce勒索软件的攻击导致其217家客户同时遭受影响。这是迄今为止DragonForce利用SimpleHelp漏洞发动的最大规模攻击造成的经济损失超过1.5亿美元。攻击过程攻击者于3月10日扫描到该MSP的SimpleHelp服务器运行在5.5.7版本利用CVE-2024-57727下载了serverconfig.xml文件破解了管理员密码利用CVE-2024-57728上传了webshell获得了服务器的远程代码执行权限部署了Cobalt Strike Beacon和BYOVD驱动禁用了EDR和杀毒软件通过SimpleHelp的RMM功能访问了所有217家客户的计算机在3天内外渗了超过5TB的敏感数据3月12日凌晨2点同时在所有系统上部署了勒索软件进行加密影响该MSP的所有业务完全中断了14天217家客户中有189家的业务受到了不同程度的影响其中32家客户的敏感数据被泄露在暗网上该MSP最终支付了1200万美元的赎金但只有约60%的数据被恢复教训该MSP虽然收到了CISA的安全预警但由于担心业务中断推迟了补丁部署该MSP的SimpleHelp服务器直接暴露在公网上没有任何访问控制措施该MSP使用了弱密码并且没有启用多因素认证该MSP没有实施网络分段导致攻击者能够轻松横向移动到所有客户网络七、全面防御体系从预防到响应的完整解决方案针对DragonForce利用SimpleHelp漏洞的供应链攻击我们建议MSP和企业实施以下多层次的防御体系7.1 紧急预防措施立即执行补丁部署立即将所有SimpleHelp服务器升级到5.5.8或更高版本。如果无法立即升级请先实施以下临时缓解措施。网络隔离禁止SimpleHelp服务器直接暴露在公网上将其放置在DMZ区域仅允许来自信任IP地址的访问443和8080端口实施网络分段将SimpleHelp服务器与客户网络隔离开访问控制为所有SimpleHelp账户启用强密码策略和多因素认证MFA实施最小权限原则仅授予技术员完成工作所需的最低权限定期审计所有账户删除不必要的账户配置加固禁用不必要的API功能限制API密钥的权限和有效期启用详细的日志记录包括所有文件下载、API调用和文件上传操作定期备份SimpleHelp服务器的配置和数据并将备份存储在离线位置7.2 检测与监控措施异常行为监控监测SimpleHelp服务器上的异常文件下载行为特别是对serverconfig.xml等敏感文件的访问监测异常的API密钥创建和使用行为监测异常的文件上传行为特别是上传JSP、ASPX等可执行文件端点检测在所有端点上部署EDR产品并确保其能够检测和阻止BYOVD驱动的加载监测Mimikatz、PsExec等横向移动工具的使用监测Restic、RClone等数据外渗工具的使用网络检测部署网络入侵检测系统NIDS检测针对SimpleHelp漏洞的攻击尝试监测异常的网络流量特别是大量数据外渗到MEGA.nz等云存储服务的流量监测Tor网络的访问流量7.3 事件响应与恢复措施制定详细的事件响应计划明确事件响应团队的职责和分工制定针对勒索软件攻击的具体响应流程定期进行事件响应演练备份与恢复策略实施3-2-1-1备份策略3份数据副本2种不同介质1份异地存储1份离线存储定期测试备份数据的可恢复性制定详细的系统恢复流程勒索软件应对策略建立与执法机构的沟通渠道考虑购买网络安全保险制定赎金支付决策流程八、未来趋势预测MSP供应链攻击的发展方向随着MSP在企业IT基础设施中的作用越来越重要针对MSP的供应链攻击将成为未来勒索软件的主要发展方向。我们预测在2026年下半年和2027年MSP供应链攻击将呈现以下趋势攻击自动化程度进一步提高勒索软件组织将开发更加自动化的攻击工具能够在几小时内完成从漏洞扫描到数据加密的整个过程。针对更多RMM工具的漏洞利用除了SimpleHelp勒索软件组织将积极寻找和利用其他主流RMM工具的漏洞如ConnectWise Automate、N-able N-sight和Kaseya VSA等。三重勒索甚至多重勒索成为标准除了数据泄露和系统加密勒索软件组织将增加更多的勒索维度如DDoS攻击、勒索受害者的客户和合作伙伴等。针对云MSP的攻击增加随着越来越多的企业将IT基础设施迁移到云端针对云MSP的供应链攻击将显著增加。国家支持的勒索软件组织出现一些国家支持的网络攻击组织将开始采用勒索软件模式通过攻击MSP来获取经济利益和情报信息。九、总结与行动建议DragonForce勒索软件利用SimpleHelp三个高危漏洞的供应链攻击为所有MSP和企业敲响了警钟。在勒索软件攻击日益专业化和自动化的今天仅仅依靠传统的安全防护措施已经不足以保护企业的安全。我们强烈建议所有使用SimpleHelp的组织立即采取以下行动今天检查所有SimpleHelp服务器的版本确保运行在5.5.8或更高版本本周内实施网络隔离和访问控制措施启用多因素认证本月内制定详细的事件响应计划测试备份数据的可恢复性本季度内建立全面的MSP供应链安全管理体系定期进行安全评估和渗透测试同时我们也呼吁软件供应商加强产品安全在开发过程中实施严格的安全测试及时修复漏洞并在发布说明中明确告知用户漏洞的严重性。只有通过软件供应商、MSP和企业的共同努力我们才能有效应对日益严峻的勒索软件威胁。