Зловмисники використовують вразливість нульового дня у програмному забезпеченні для керування сервісами SysAid, щоб отримати доступ до корпоративних серверів для крадіжки даних і розгорнути програмне забезпечення-вимагач Clop. Про це повідомляє Bleeping Computer.
SysAid – це комплексне рішення для управління ІТ-послугами (ITSM), яке надає набір інструментів для керування різними ІТ-послугами в організації.
Програма-вимагач Clop сумно відома тим, що використовує вразливості нульового дня у широко розповсюдженому програмному забезпеченні. Останні приклади включають MOVEit Transfer, GoAnywhere MFT й Accellion FTA.
Вразливість, наразі ідентифікована як CVE-2023-47246, була виявлена 2 листопада після того, як хакери використали її для зламу локальних серверів SysAid.
Команда Microsoft Threat Intelligence виявила проблему безпеки й попередила SysAid.
Фахівці Microsoft визначили, що вразливість використовувалася для розгортання програми-вимагача Clop. Загроза відстежується як Lace Tempest (також відома як Fin11 і TA505).
Microsoft has discovered exploitation of a 0-day vulnerability in the SysAid IT support software in limited attacks by Lace Tempest, a threat actor that distributes Clop ransomware. Microsoft notified SysAid about the issue (CVE-2023-47246), which they immediately patched.
— Microsoft Threat Intelligence (@MsftSecIntel) November 9, 2023
Подробиці атаки
Компанія SysAid опублікувала звіт, у якому повідомляється, що CVE-2023-47246 – це вразливість, пов’язана з проходженням шляху, яка призводить до несанкціонованого виконання коду. Компанія також ділиться технічними деталями атаки, виявленої після розслідування швидкого реагування на інциденти Profero.
Зловмисник використав недолік нульового дня, щоб завантажити у кореневу папку вебслужби SysAid Tomcat архів WAR, що містить вебоболонку.
Це дало змогу зловмисникам виконувати додаткові сценарії PowerShell і завантажувати зловмисне програмне забезпечення GraceWire, яке було введено у законний процес (наприклад, spoolsv.exe, msiexec.exe, svchost.exe).
У звіті зазначається, що завантажувач шкідливих програм ('user.exe') перевіряє запущені процеси, щоб переконатися, що продукти безпеки Sophos відсутні у скомпрометованій системі.
Після вилучення даних зловмисник спробував стерти їхні сліди за допомогою іншого сценарію PowerShell, який видаляв журнали активності.
Microsoft також помітила, що Lace Tempest розгорнув додаткові сценарії, які отримували слухач Cobalt Strike на скомпрометованих хостах.
Доступне оновлення безпеки
Дізнавшись про вразливість, SysAid швидко розробив виправлення для CVE-2023-47246, яке доступне в оновленні програмного забезпечення. Всім користувачам SysAid наполегливо рекомендується перейти на версію 23.3.36 або новішу.
Системним адміністраторам також слід перевірити сервери на ознаки зламу, виконавши наведені нижче дії:
- Перевірте вебкорінь SysAid Tomcat на наявність незвичайних файлів, особливо файлів WAR, ZIP або JSP з аномальними мітками часу.
- Шукайте неавторизовані файли WebShell у службі SysAid Tomcat і перевіряйте файли JSP на наявність шкідливого вмісту.
- Перегляньте журнали на наявність неочікуваних дочірніх процесів від Wrapper.exe, які можуть свідчити про використання WebShell.
- Перевірте журнали PowerShell на предмет виконання сценаріїв, які відповідають описаним моделям атак.
- Відстежуйте ключові процеси, як-от spoolsv.exe, msiexec.exe, svchost.exe, на наявність ознак несанкціонованого впровадження коду.
- Застосуйте надані IOC, щоб виявити будь-які ознаки використання вразливості.
- Пошук доказів конкретних команд зловмисника, які вказують на компрометацію системи.
- Запустіть сканування безпеки на наявність відомих шкідливих індикаторів, пов’язаних із вразливістю.
- Шукайте підключення до вказаних IP-адрес C2.
- Перевірте наявність ознак очищення під керівництвом зловмисників, щоб приховати їхню присутність.
У звіті SysAid наведені індикатори компрометації, які можуть допомогти виявити або запобігти вторгненню, які включають імена файлів і хеші, IP-адреси, шляхи до файлів, використані в атаці, і команди загрози, використані для завантаження шкідливого програмного забезпечення або видалення доказів початкового доступу.
Раніше ми повідомляли про вразливість WinRAR, яка дає змогу хакерам запускати довільний код, коли ви відкриваєте архіви RAR.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
