El actor de amenazas conocido como Lace Tempest ha sido vinculado a la explotaci\u00f3n de una falla de d\u00eda cero en el software de soporte de TI SysAid en ataques limitados, seg\u00fan nuevos hallazgos de Microsoft.<\/p>\n
Lace Tempest, conocido por distribuir el ransomware Cl0p, en el pasado aprovech\u00f3 fallas de d\u00eda cero en los servidores MOVEit Transfer y PaperCut.<\/p>\n
El problema, rastreado como CVE-2023-47246<\/strong>, se refiere a una falla de recorrido de ruta que podr\u00eda resultar en la ejecuci\u00f3n de c\u00f3digo dentro de instalaciones locales. SysAid lo parch\u00f3 en la versi\u00f3n 23.3.36 del software.<\/p>\n “Despu\u00e9s de explotar la vulnerabilidad, Lace Tempest emiti\u00f3 comandos a trav\u00e9s del software SysAid para entregar un cargador de malware para el malware Gracewire”, Microsoft dicho<\/a>.<\/p>\n “A esto normalmente le sigue la actividad operada por humanos, incluido el movimiento lateral, el robo de datos y la implementaci\u00f3n de ransomware”.<\/p>\n Seg\u00fan SysAid, el actor de amenazas ha sido observado<\/a> cargar un archivo WAR que contiene un shell web y otras cargas \u00fatiles en la ra\u00edz web del servicio web SysAid Tomcat.<\/p>\n El web shell, adem\u00e1s de proporcionar al actor de la amenaza acceso por puerta trasera al host comprometido, se utiliza para entregar un script de PowerShell dise\u00f1ado para ejecutar un cargador que, a su vez, carga Gracewire.<\/p>\n Los atacantes tambi\u00e9n implementaron un segundo script de PowerShell que se utiliza para borrar la evidencia de la explotaci\u00f3n despu\u00e9s de que se implementaron las cargas maliciosas. <\/p>\n Adem\u00e1s, las cadenas de ataque se caracterizan por el uso de la Agente MeshCentral<\/a> as\u00ed como PowerShell para descargar y ejecutar Cobalt Strike, un marco leg\u00edtimo post-explotaci\u00f3n.<\/p>\n Se recomienda encarecidamente a las organizaciones que utilizan SysAid que apliquen los parches lo antes posible para frustrar posibles ataques de ransomware, as\u00ed como escanear sus entornos en busca de signos de explotaci\u00f3n antes de aplicar el parche.<\/p>\n El desarrollo se produce cuando la Oficina Federal de Investigaciones (FBI) de EE. UU. advirti\u00f3 que los atacantes de ransomware tienen como objetivo proveedores externos y herramientas de sistemas leg\u00edtimas para comprometer las empresas.<\/p>\n “A partir de junio de 2023, Silent Ransom Group (SRG), tambi\u00e9n llamado Luna Moth, llev\u00f3 a cabo ataques de extorsi\u00f3n y robo de datos de phishing con devoluci\u00f3n de llamada enviando a las v\u00edctimas un n\u00famero de tel\u00e9fono en un intento de phishing, generalmente relacionado con cargos pendientes en la cuenta de las v\u00edctimas”. FBI dicho<\/a>.<\/p>\n Si una v\u00edctima cae en la trampa y llama al n\u00famero de tel\u00e9fono proporcionado, los actores maliciosos les indican que instalen una herramienta leg\u00edtima de administraci\u00f3n del sistema a trav\u00e9s de un enlace proporcionado en un correo electr\u00f3nico de seguimiento”.<\/p>\n Luego, los atacantes utilizaron la herramienta de administraci\u00f3n para instalar otro software aut\u00e9ntico que puede reutilizarse para actividades maliciosas, se\u00f1al\u00f3 la agencia, agregando que los actores comprometieron archivos locales y unidades compartidas de red, exfiltraron datos de las v\u00edctimas y extorsionaron a las empresas.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Alerta-de-dia-cero-Lace-Tempest-aprovecha-la-vulnerabilidad-del.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n