Tehdit aktörleri, veri hırsızlığı için kurumsal sunuculara erişmek ve klop fidye yazılımlarını dağıtmak için hizmet yönetimi yazılımı SYSAID'deki sıfır günlük bir güvenlik açığından yararlanıyor.
SYSAID, bir kuruluş içinde çeşitli BT hizmetlerini yönetmek için bir dizi araç sağlayan kapsamlı bir BT Hizmet Yönetimi (ITSM) çözümüdür.
Clop fidye yazılımı, yaygın olarak kullanılan yazılımlarda sıfır gün güvenlik açıklarından yararlanmakla ünlüdür. Son örnekler arasında Moveit Transfer, Goanywhere MFT ve Acccellion FTA bulunmaktadır.
Şu anda CVE-2023-47246 olarak tanımlanan güvenlik açığı, bilgisayar korsanlarının şirket içi SYSAID sunucularını ihlal etmek için sömürülmesinden sonra 2 Kasım'da keşfedildi.
Microsoft Tehdit İstihbarat Ekibi, vahşi ve uyarılmış SYSAID'de güvenlik sorununu keşfetti.
Microsoft, güvenlik açığının, dantel Tempest (yani Fin11 ve TA505) olarak izlediği bir tehdit aktörü tarafından klop fidye yazılımını dağıtmak için kullanıldığını belirledi.
SYSAID, Çarşamba günü CVE-2023-47246'nın yetkisiz kod yürütülmesine yol açan bir yol geçiş güvenlik açığı olduğunu açıklayan bir rapor yayınladı. Şirket ayrıca, Rapid Olay Müdahale Şirketi Profero'nun soruşturmasının ardından ortaya çıkan saldırının teknik ayrıntılarını da paylaşıyor.
Tehdit oyuncusu, Sysaid Tomcat Web Hizmeti'nin Webroot'a bir Web Kıyısı içeren bir savaş (Web Uygulama Kaynağı) arşivine yüklemek için sıfır gün kusurundan yararlandı.
Bu, tehdit aktörlerinin ek PowerShell komut dosyaları yürütmelerini ve meşru bir sürece enjekte edilen GraceWire kötü amaçlı yazılımını (örn.
Raporda, kötü amaçlı yazılım yükleyici ('user.exe'), Sophos güvenlik ürünlerinin tehlikeye atılan sistemde bulunmamasını sağlamak için çalıştırma işlemlerini kontrol ettiğini belirtiyor.
Verileri püskürttükten sonra, tehdit oyuncusu etkinlik günlüklerini silen başka bir PowerShell betiği kullanarak parçalarını silmeye çalıştı.
Microsoft ayrıca Lace Tempest'in tehlikeye atılan ana bilgisayarlara bir kobalt grev dinleyicisi getiren ek komut dosyaları kullandığını fark etti.
Güvenlik açığını öğrendikten sonra, SYSAID bir yazılım güncellemesinde bulunan CVE-2023-47246 için bir yama geliştirmek için hızlı bir şekilde çalıştı. Tüm SYSAID kullanıcılarının 23.3.36 sürümüne veya üstüne geçmesi şiddetle tavsiye edilir.
Sistem yöneticileri ayrıca aşağıdaki adımları izleyerek sunucuları uzlaşma belirtileri için kontrol etmelidir:
Sysaid'in raporu, dosya adları ve karmalar, IP adresleri, saldırıda kullanılan dosya yollarından oluşan izinsiz girişin tespit edilmesine veya önlenmesine yardımcı olabilecek uzlaşma göstergeleri sağlar ve kötü amaçlı yazılım indirmek veya başlangıç erişiminin kanıtlarını silmek için kullanılan tehdit aktörüne komuta eder.
Microsoft: Eylül ayından bu yana Confluence Zero Day'den yararlanan eyalet hackerları
Yeni Microsoft Exchange Zero-Days RCE, Veri Hırsızlığı Saldırılarına İzin Veriyor
Hellokitty fidye yazılımı artık saldırılarda apache ActiveMq kusurunu kullanıyor
Son zamanlarda yamalı Citrix NetScaler Bug, Ağustos ayından bu yana sıfır gün olarak sömürüldü
Microsoft Ekim 2023 Patch Salı 3 sıfır gün, 104 kusur düzeltiyor
Kaynak: Bleeping Computer