L’acteur malveillant connu sous le nom de Lace Tempest a été lié à l’exploitation d’une faille zero-day dans le logiciel de support informatique SysAid lors d’attaques limitées, selon de nouvelles découvertes de Microsoft.
Lace Tempest, connu pour distribuer le ransomware Cl0p, a dans le passé exploité des failles zero-day dans les serveurs MOVEit Transfer et PaperCut.
Le problème, suivi comme CVE-2023-47246, concerne une faille de traversée de chemin qui pourrait entraîner l’exécution de code au sein d’installations sur site. Il a été corrigé par SysAid dans la version 23.3.36 du logiciel.
« Après avoir exploité la vulnérabilité, Lace Tempest a émis des commandes via le logiciel SysAid pour fournir un chargeur de malware pour le malware Gracewire », Microsoft dit.
« Cela est généralement suivi d’activités humaines, notamment de mouvements latéraux, de vols de données et de déploiement de ransomwares. »
Selon SysAid, l’auteur de la menace a été observé télécharger une archive WAR contenant un shell Web et d’autres charges utiles dans la racine Web du service Web SysAid Tomcat.
Le shell Web, en plus de fournir à l’acteur malveillant un accès par porte dérobée à l’hôte compromis, est utilisé pour fournir un script PowerShell conçu pour exécuter un chargeur qui, à son tour, charge Gracewire.
Les attaquants ont également déployé un deuxième script PowerShell qui est utilisé pour effacer les preuves de l’exploitation après le déploiement des charges utiles malveillantes.
De plus, les chaînes d’attaque se caractérisent par l’utilisation du Agent MeshCentral ainsi que PowerShell pour télécharger et exécuter Cobalt Strike, un framework de post-exploitation légitime.
Il est fortement recommandé aux organisations qui utilisent SysAid d’appliquer les correctifs dès que possible pour contrecarrer les attaques potentielles de ransomware et d’analyser leurs environnements à la recherche de signes d’exploitation avant d’appliquer les correctifs.
Cette évolution intervient alors que le Federal Bureau of Investigation (FBI) des États-Unis a averti que les attaquants de ransomware ciblent les fournisseurs tiers et les outils système légitimes pour compromettre les entreprises.
« En juin 2023, le Silent Ransom Group (SRG), également appelé Luna Moth, a mené des attaques de vol de données et d’extorsion de données par rappel en envoyant aux victimes un numéro de téléphone dans le cadre d’une tentative de phishing, généralement liée à des accusations en cours sur le compte des victimes. » FBI dit.
Si une victime tombait dans le piège de la ruse et appelait le numéro de téléphone fourni, les acteurs malveillants lui demandaient d’installer un outil de gestion de système légitime via un lien fourni dans un e-mail de suivi.
Les attaquants ont ensuite utilisé l’outil de gestion pour installer d’autres logiciels authentiques pouvant être réutilisés à des fins malveillantes, a noté l’agence, ajoutant que les acteurs avaient compromis des fichiers locaux et des lecteurs réseau partagés, exfiltré les données des victimes et extorqué les entreprises.