Sıfır Gün Uyarısı: Lace Tempest, SysAid BT Destek Yazılımı Güvenlik Açığından Yararlanıyor

Microsoft'un yeni bulgularına göre, Lace Tempest olarak bilinen tehdit aktörü, sınırlı saldırılarda SysAid BT destek yazılımındaki sıfır gün kusurundan yararlanılmasıyla bağlantılı.

Cl0p fidye yazılımını dağıtmasıyla tanınan Lace Tempest, geçmişte MOVEit Transfer ve PaperCut sunucularındaki sıfır gün kusurlarından yararlandı.

CVE-2023-47246 olarak izlenen sorun, şirket içi kurulumlarda kod yürütülmesine neden olabilecek bir yol geçişi kusuruyla ilgilidir. Yazılımın 23.3.36 sürümünde SysAid tarafından yamalanmıştır.

Microsoft, "Güvenlik açığından yararlandıktan sonra Lace Tempest, Gracewire kötü amaçlı yazılımı için bir kötü amaçlı yazılım yükleyici sağlamak üzere SysAid yazılımı aracılığıyla komutlar yayınladı" dedi.

"Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından işletilen faaliyetler takip ediyor."

SysAid'e göre, tehdit aktörünün SysAid Tomcat web hizmetinin web köküne bir web kabuğu ve diğer yükleri içeren bir WAR arşivi yüklediği gözlemlendi.

Web kabuğu, tehdit aktörüne güvenliği ihlal edilmiş ana bilgisayara arka kapı erişimi sağlamanın yanı sıra, sırayla Gracewire'ı yükleyen bir yükleyiciyi yürütmek için tasarlanmış bir PowerShell betiği sunmak için kullanılır.

Saldırganlar tarafından dağıtılan ayrıca, kötü amaçlı yükler dağıtıldıktan sonra istismar kanıtlarını silmek için kullanılan ikinci bir PowerShell betiğidir.

Ayrıca, saldırı zincirleri, meşru bir sömürü sonrası çerçeve olan Cobalt Strike'ı indirmek ve çalıştırmak için MeshCentral Agent'ın yanı sıra PowerShell'in kullanılmasıyla karakterize edilir.

SysAid kullanan kuruluşların, olası fidye yazılımı saldırılarını engellemek için yamaları mümkün olan en kısa sürede uygulamaları ve yama uygulamadan önce ortamlarını istismar belirtilerine karşı taramaları önemle tavsiye edilir.

Gelişme, ABD Federal Soruşturma Bürosu'nun (FBI) fidye yazılımı saldırganlarının işletmeleri tehlikeye atmak için üçüncü taraf satıcıları ve meşru sistem araçlarını hedef aldığı konusunda uyarmasının ardından geldi.

FBI, "Haziran 2023 itibariyle, Luna Moth olarak da adlandırılan Silent Ransom Group (SRG), genellikle kurbanların hesabında bekleyen suçlamalarla ilgili bir kimlik avı girişiminde kurbanlara bir telefon numarası göndererek geri arama kimlik avı veri hırsızlığı ve gasp saldırıları gerçekleştirdi" dedi.

Bir kurban oyuna düşer ve verilen telefon numarasını ararsa, kötü niyetli aktörler onları bir takip e-postasında sağlanan bir bağlantı aracılığıyla meşru bir sistem yönetim aracı yüklemeye yönlendirdi."

Ajans, saldırganların daha sonra kötü niyetli faaliyetler için yeniden kullanılabilecek diğer orijinal yazılımları yüklemek için yönetim aracını kullandığını ve aktörlerin yerel dosyaları ve ağ ortak sürücülerini tehlikeye attığını, kurban verilerini sızdırdığını ve şirketleri gasp ettiğini belirtti.