Ελάττωμα μηδενικής ημέρας SysAid που χρησιμοποιείται σε επιθέσεις ransomware Clop

Οι φορείς απειλών εκμεταλλεύονται μια ευπάθεια

zero-day

στο

λογισμικό

διαχείρισης υπηρεσιών SysAid για να αποκτήσουν πρόσβαση σε εταιρικούς διακομιστές για κλοπή δεδομένων και να αναπτύξουν ransomware Clop.

Το SysAid είναι μια ολοκληρωμένη λύση Διαχείρισης Υπηρεσιών IT (ITSM) που παρέχει μια σειρά εργαλείων για τη διαχείριση διαφόρων υπηρεσιών

πληροφορική

ς σε έναν οργανισμό.

Το ransomware Clop είναι διαβόητο για την εκμετάλλευση των τρωτών σημείων zero-day σε ευρέως χρησιμοποιούμενο λογισμικό. Πρόσφατα παραδείγματα περιλαμβάνουν το MOVEit Transfer, το GoAnywhere MFT και το Accellion FTA.

Αυτήν τη στιγμή προσδιορίζεται ως CVE-2023-47246, το θέμα ευπάθειας ανακαλύφθηκε στις 2 Νοεμβρίου, αφού οι χάκερ το εκμεταλλεύτηκαν για να παραβιάσουν τους διακομιστές SysAid εντός εγκατάστασης.

Η ομάδα της Microsoft Threat Intelligence ανακάλυψε ότι το ζήτημα ασφαλείας αξιοποιείται στη φύση και ειδοποίησε το SysAid.

Η Microsoft διαπίστωσε ότι η ευπάθεια χρησιμοποιήθηκε για την ανάπτυξη ransomware Clop από έναν παράγοντα απειλής που παρακολουθεί ως Lace Tempest (γνωστός και ως Fin11 και TA505).

Λεπτομέρειες επίθεσης

Το SysAid δημοσίευσε μια αναφορά την Τετάρτη, αποκαλύπτοντας ότι το CVE-2023-47246 είναι ένα θέμα ευπάθειας στη διέλευση διαδρομής που οδηγεί σε μη εξουσιοδοτημένη εκτέλεση κώδικα. Η εταιρεία μοιράζεται επίσης τεχνικές λεπτομέρειες της επίθεσης που αποκαλύφθηκαν μετά από έρευνα από την εταιρεία ταχείας αντιμετώπισης περιστατικών

Profero

.

Ο παράγοντας της απειλής χρησιμοποίησε το ελάττωμα zero-day για να ανεβάσει στο webroot της υπηρεσίας Web SysAid Tomcat ένα αρχείο WAR (Web Application Resource) που περιέχει ένα webshell.

Αυτό επέτρεψε στους παράγοντες απειλών να εκτελέσουν πρόσθετα σενάρια PowerShell και να φορτώσουν το κακόβουλο λογισμικό GraceWire, το οποίο εισήχθη σε μια νόμιμη διαδικασία (egspoolsv.exe, msiexec.exe, svchost.exe).

Η αναφορά σημειώνει ότι το πρόγραμμα φόρτωσης κακόβουλου λογισμικού (“user.exe”) ελέγχει τις διεργασίες που εκτελούνται για να διασφαλίσει ότι τα προϊόντα ασφαλείας της Sophos δεν υπάρχουν στο παραβιασμένο σύστημα.

Μετά την εξαγωγή δεδομένων, ο ηθοποιός της απειλής προσπάθησε να διαγράψει τα ίχνη του χρησιμοποιώντας ένα άλλο σενάριο PowerShell που διέγραψε τα αρχεία καταγραφής δραστηριοτήτων.

Η Microsoft παρατήρησε επίσης ότι η Lace Tempest ανέπτυξε πρόσθετα σενάρια που έφεραν έναν ακροατή Cobalt Strike σε παραβιασμένους κεντρικούς

υπολογιστές

.

Διατίθεται

ενημέρωση

ασφαλείας

Αφού έμαθε για την ευπάθεια, το SysAid εργάστηκε γρήγορα για να αναπτύξει μια ενημέρωση κώδικα για το CVE-2023-47246, η οποία είναι διαθέσιμη σε μια ενημέρωση λογισμικού. Συνιστάται ανεπιφύλακτα να μεταβούν σε όλους τους χρήστες του SysAid

εκδοχή


23.3.36

ή αργότερα.

Οι διαχειριστές συστήματος θα πρέπει επίσης να ελέγχουν τους διακομιστές για ενδείξεις συμβιβασμού ακολουθώντας τα παρακάτω βήματα:

1. Ελέγξτε το webroot του SysAid Tomcat για ασυνήθιστα αρχεία, ειδικά αρχεία WAR, ZIP ή JSP με ανώμαλες χρονικές σημάνσεις.
2. Αναζητήστε μη εξουσιοδοτημένα αρχεία WebShell στην υπηρεσία SysAid Tomcat και ελέγξτε τα αρχεία JSP για κακόβουλο περιεχόμενο.
3. Ελέγξτε τα αρχεία καταγραφής για μη αναμενόμενες θυγατρικές διεργασίες από το Wrapper.exe, οι οποίες ενδέχεται να υποδεικνύουν τη χρήση του WebShell.
4. Ελέγξτε τα αρχεία καταγραφής του PowerShell για εκτελέσεις σεναρίων που ευθυγραμμίζονται με τα μοτίβα επίθεσης που περιγράφονται.
5. Παρακολουθήστε τις βασικές διεργασίες όπως τα spoolsv.exe, msiexec.exe, svchost.exe για ενδείξεις μη εξουσιοδοτημένης εισαγωγής κώδικα.
6. Εφαρμόστε τα παρεχόμενα ΔΟΕ για να εντοπίσετε τυχόν σημάδια της ευπάθειας υπό εκμετάλλευση.
7. Αναζητήστε στοιχεία για συγκεκριμένες εντολές εισβολέα που υποδεικνύουν συμβιβασμό του συστήματος.
8. Εκτελέστε σαρώσεις ασφαλείας για γνωστούς κακόβουλους δείκτες που σχετίζονται με την ευπάθεια.
9. Αναζητήστε συνδέσεις με τις αναφερόμενες διευθύνσεις IP C2.
10. Ελέγξτε για σημάδια εκκαθάρισης από τους επιτιθέμενους για να κρύψετε την παρουσία τους.

Έκθεση SysAid

παρέχει δείκτες συμβιβασμού που θα μπορούσαν να βοηθήσουν στην ανίχνευση ή την αποτροπή της εισβολής, οι οποίοι συνίστανται σε ονόματα αρχείων και κατακερματισμούς, διευθύνσεις IP, διαδρομές αρχείων που χρησιμοποιούνται στην επίθεση και εντολές που χρησιμοποίησε ο παράγοντας απειλής για τη λήψη κακόβουλου λογισμικού ή τη διαγραφή στοιχείων αρχικής πρόσβασης.