El actor de amenazas conocido como Lace Tempest ha sido vinculado a la explotación de una falla de día cero en el software de soporte de TI SysAid en ataques limitados, según nuevos hallazgos de Microsoft.
Lace Tempest, conocido por distribuir el ransomware Cl0p, en el pasado aprovechó fallas de día cero en los servidores MOVEit Transfer y PaperCut.
El problema, rastreado como CVE-2023-47246, se refiere a una falla de recorrido de ruta que podría resultar en la ejecución de código dentro de instalaciones locales. SysAid lo parchó en la versión 23.3.36 del software.
«Después de explotar la vulnerabilidad, Lace Tempest emitió comandos a través del software SysAid para entregar un cargador de malware para el malware Gracewire», Microsoft dicho.
«A esto normalmente le sigue la actividad operada por humanos, incluido el movimiento lateral, el robo de datos y la implementación de ransomware».
Según SysAid, el actor de amenazas ha sido observado cargar un archivo WAR que contiene un shell web y otras cargas útiles en la raíz web del servicio web SysAid Tomcat.
El web shell, además de proporcionar al actor de la amenaza acceso por puerta trasera al host comprometido, se utiliza para entregar un script de PowerShell diseñado para ejecutar un cargador que, a su vez, carga Gracewire.
Los atacantes también implementaron un segundo script de PowerShell que se utiliza para borrar la evidencia de la explotación después de que se implementaron las cargas maliciosas.
Además, las cadenas de ataque se caracterizan por el uso de la Agente MeshCentral así como PowerShell para descargar y ejecutar Cobalt Strike, un marco legítimo post-explotación.
Se recomienda encarecidamente a las organizaciones que utilizan SysAid que apliquen los parches lo antes posible para frustrar posibles ataques de ransomware, así como escanear sus entornos en busca de signos de explotación antes de aplicar el parche.
El desarrollo se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió que los atacantes de ransomware tienen como objetivo proveedores externos y herramientas de sistemas legítimas para comprometer las empresas.
«A partir de junio de 2023, Silent Ransom Group (SRG), también llamado Luna Moth, llevó a cabo ataques de extorsión y robo de datos de phishing con devolución de llamada enviando a las víctimas un número de teléfono en un intento de phishing, generalmente relacionado con cargos pendientes en la cuenta de las víctimas». FBI dicho.
Si una víctima cae en la trampa y llama al número de teléfono proporcionado, los actores maliciosos les indican que instalen una herramienta legítima de administración del sistema a través de un enlace proporcionado en un correo electrónico de seguimiento».
Luego, los atacantes utilizaron la herramienta de administración para instalar otro software auténtico que puede reutilizarse para actividades maliciosas, señaló la agencia, agregando que los actores comprometieron archivos locales y unidades compartidas de red, exfiltraron datos de las víctimas y extorsionaron a las empresas.