Lace Tempest explora vulnerabilidade ZERO-DAY em software de suporte da SysAid

Um grupo ofensor conhecido como Lace Tempest foi associado à exploração de uma falha zero-day no software de suporte de TI da empresa SysAid, de acordo com informações divulgadas pela Microsoft.

O Lace Tempest, conhecido por distribuir o ransomware Cl0p, já utilizou falhas zero-day anteriormente em servidores MOVEit Transfer e PaperCut.

O problema, rastreado como CVE-2023-47246, trata-se de uma falha de travessia de caminho que poderia resultar na execução de código em instalações locais. Foi corrigido pela SysAid na versão 23.3.36 do software.

"Após explorar a vulnerabilidade, o Lace Tempest enviou comandos pelo software da SysAid para a execução do malware Gracewire", disse a Microsoft.

"Isso é normalmente seguido por atividade operada por humanos, incluindo movimentação lateral, roubo de dados e implantação de ransomware."

Segundo a SysAid, os ofensores foram observados enviando um arquivo WAR contendo um shell da web e outras payloads para o diretório raiz do serviço web Tomcat da SysAid.

O web shell, além de fornecer aos ofensores acesso ao backdoor do host comprometido, é usado para enviar um script PowerShell projetado para executar e carrega o Gracewire.

Também implantado pelos ofensores, existe um segundo script PowerShell usado para apagar as evidências da ação de exploração depois que os arquivos maliciosos são implantados.

Além disso, as cadeias de ataque são caracterizadas pelo uso do MeshCentral Agent, bem como do PowerShell para baixar e executar o Cobalt Strike, um framework legítimo de pós-exploração.

Para as empresas e organizações que utilizam o SysAid, foi recomendado a atualização dos patches o mais rápido possível para evitar possíveis ataques de ransomware, bem como executar varreduras em seus ambientes em busca de sinais de exploração antes da aplicação dos patches.

O desenvolvimento ocorre enquanto o Federal Bureau of Investigation (FBI) dos Estados Unidos alertou que os ofensores de ransomware estão mirando em fornecedores terceirizados e ferramentas de sistema legítimas para comprometer empresas.

"Até junho de 2023, o Silent Ransom Group (SRG), também chamado de Luna Moth, realizou ataques de roubo de dados e extorsão por meio de phishing, enviando às vítimas um número de telefone em uma tentativa de phishing, geralmente relacionado a acusações pendentes na conta das vítimas", disse o FBI.

Se uma vítima cair na armadilha e ligar para o número de telefone fornecido, os ofensores as direcionam para instalar uma ferramenta de gerenciamento de sistema legítima por meio de um link fornecido em um e-mail."

Os ofensores então usaram a ferramenta de gerenciamento para instalar outro software autêntico que pode ser reaproveitado para atividades maliciosas, observou a agência, acrescentando que os ofensores comprometeram arquivos locais e unidades compartilhadas em rede, extraíram dados das vítimas e extorquiram as empresas.

Via - THN