Microsoft’un yeni bulgularına göre, Lace Tempest olarak bilinen tehdit aktörü, sınırlı saldırılarda SysAid BT destek yazılımındaki sıfır gün kusurundan yararlanılmasıyla ilişkilendirildi.
Cl0p fidye yazılımını dağıtmasıyla bilinen Lace Tempest, geçmişte MOVEit Transfer ve PaperCut sunucularındaki sıfır gün kusurlarından yararlanmıştı.
Sorun şu şekilde izlendi: CVE-2023-47246, şirket içi kurulumlarda kod yürütülmesine neden olabilecek bir yol geçiş kusuruyla ilgilidir. Yazılımın 23.3.36 sürümünde SysAid tarafından yama uygulanmıştır.
Microsoft, “Güvenlik açığından yararlandıktan sonra Lace Tempest, Gracewire kötü amaçlı yazılımı için bir kötü amaçlı yazılım yükleyicisi sağlamak üzere SysAid yazılımı aracılığıyla komutlar yayınladı.” söz konusu.
“Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından gerçekleştirilen faaliyetler izliyor.”
SysAid’e göre tehdit aktörü gözlemlendi Bir web kabuğu ve diğer yükleri içeren bir WAR arşivinin SysAid Tomcat web hizmetinin web köküne yüklenmesi.
Web kabuğu, tehdit aktörüne ele geçirilen ana makineye arka kapı erişimi sağlamanın yanı sıra, Gracewire’ı yükleyen bir yükleyiciyi yürütmek üzere tasarlanmış bir PowerShell betiği sunmak için de kullanılıyor.
Saldırganlar tarafından ayrıca kötü amaçlı yükler dağıtıldıktan sonra istismarın kanıtlarını silmek için kullanılan ikinci bir PowerShell betiği de dağıtılıyor.
Ayrıca, saldırı zincirleri aşağıdakilerin kullanımıyla karakterize edilir: MeshCentral Temsilcisi meşru bir sömürü sonrası çerçeve olan Cobalt Strike’ı indirip çalıştırmak için PowerShell’in yanı sıra.
SysAid kullanan kuruluşların, olası fidye yazılımı saldırılarını engellemek için yamaları mümkün olan en kısa sürede uygulamaları ve ayrıca yama uygulamadan önce ortamlarını istismar işaretleri açısından taramaları önemle tavsiye edilir.
Gelişme, ABD Federal Soruşturma Bürosu’nun (FBI), fidye yazılımı saldırganlarının işletmeleri tehlikeye atmak için üçüncü taraf satıcıları ve meşru sistem araçlarını hedef aldığı konusunda uyarmasının ardından geldi.
“Haziran 2023 itibarıyla, Luna Moth olarak da adlandırılan Silent Ransom Group (SRG), kurbanlara bir kimlik avı girişiminde, genellikle kurbanların hesabında bekleyen suçlamalarla ilgili bir telefon numarası göndererek geri arama kimlik avı veri hırsızlığı ve gasp saldırıları gerçekleştirdi.” FBI söz konusu.
Bir kurbanın hileye kanması ve verilen telefon numarasını araması durumunda, kötü niyetli aktörler, onları takip e-postasında verilen bir bağlantı aracılığıyla meşru bir sistem yönetim aracı yüklemeye yönlendirdi.”
Ajans, saldırganların daha sonra yönetim aracını kötü amaçlı faaliyetler için yeniden kullanılabilecek diğer orijinal yazılımları yüklemek için kullandığını, aktörlerin yerel dosyaları ve ağ paylaşımlı sürücülerini tehlikeye attığını, kurban verilerini sızdırdığını ve şirketlere şantaj yaptığını belirtti.
