威胁行为者正在利用服务管理软件 SysAid 中的零日漏洞来访问公司服务器以窃取数据并部署 Clop 勒索软件。
SysAid 是一个全面的 IT 服务管理 (ITSM) 解决方案,提供了一套用于管理组织内各种 IT 服务的工具。
Clop 勒索软件因利用广泛使用的软件中的零日漏洞而臭名昭著。最近的例子包括MOVEit Transfer、GoAnywhere MFT和Accellion FTA。
该漏洞目前被识别为 CVE-2023-47246,黑客于 11 月 2 日利用该漏洞破坏本地 SysAid 服务器后发现该漏洞。
Microsoft 威胁情报团队发现了该安全问题,并向 SysAid 发出警报。
Microsoft 确定该漏洞被跟踪为 Lace Tempest(又名 Fin11 和 TA505)的威胁参与者用来部署 Clop 勒索软件。
攻击详情
SysAid 周三发布报告,披露 CVE-2023-47246 是一个路径遍历漏洞,会导致未经授权的代码执行。该公司还分享了快速事件响应公司Profero调查后发现的攻击的技术细节。
威胁参与者利用零日漏洞将包含 Webshell 的 WAR(Web 应用程序资源)存档上传到 SysAid Tomcat Web 服务的 Webroot。
这使得威胁参与者能够执行额外的 PowerShell 脚本并加载 GraceWire 恶意软件,该恶意软件被注入到合法进程(egspoolsv.exe、msiexec.exe、svchost.exe)中。
报告指出,恶意软件加载程序(“user.exe”)会检查正在运行的进程,以确保受感染的系统上不存在 Sophos 安全产品。
文章原文链接:https://www.anquanke.com/post/id/291339
