Microsoft’un yeni bulgularına göre, Lace Tempest olarak bilinen tehdit aktörü, sınırlı saldırılarda SysAid BT destek yazılımındaki sıfır gün kusurundan yararlanılmasıyla ilişkilendirildi.
Cl0p fidye yazılımını dağıtmasıyla bilinen Lace Tempest, geçmişte MOVEit Transfer ve PaperCut sunucularındaki sıfır gün kusurlarından yararlanmıştı.
Sorun şu şekilde izlendi: CVE-2023-47246, şirket içi kurulumlarda kod yürütülmesine neden olabilecek bir yol geçiş kusuruyla ilgilidir. Yazılımın 23.3.36 sürümünde SysAid tarafından yama uygulanmıştır.
Microsoft, “Güvenlik açığından yararlandıktan sonra Lace Tempest, Gracewire kötü amaçlı yazılımı için bir kötü amaçlı yazılım yükleyicisi sağlamak üzere SysAid yazılımı aracılığıyla komutlar yayınladı.” söz konusu.
“Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından gerçekleştirilen faaliyetler izliyor.”
SysAid’e göre, tehdit aktörünün bir web kabuğu ve diğer yükleri içeren bir WAR arşivini SysAid Tomcat web hizmetinin web köküne yüklediği gözlemlendi.
Web kabuğu, tehdit aktörüne ele geçirilen ana makineye arka kapı erişimi sağlamanın yanı sıra, Gracewire’ı yükleyen bir yükleyiciyi yürütmek üzere tasarlanmış bir PowerShell betiği sunmak için de kullanılıyor.
Saldırganlar tarafından ayrıca kötü amaçlı yükler dağıtıldıktan sonra istismarın kanıtlarını silmek için kullanılan ikinci bir PowerShell betiği de dağıtılıyor.
Ayrıca saldırı zincirleri, meşru bir sömürü sonrası çerçeve olan Cobalt Strike’ı indirmek ve çalıştırmak için MeshCentral Agent’ın yanı sıra PowerShell’in kullanılmasıyla karakterize edilir.
SysAid kullanan kuruluşların, olası fidye yazılımı saldırılarını engellemek için yamaları mümkün olan en kısa sürede uygulamaları ve ayrıca yama uygulamadan önce ortamlarını istismar işaretleri açısından taramaları önemle tavsiye edilir.
Gelişme, ABD Federal Soruşturma Bürosu’nun (FBI), fidye yazılımı saldırganlarının işletmeleri tehlikeye atmak için üçüncü taraf satıcıları ve meşru sistem araçlarını hedef aldığı konusunda uyarmasının ardından geldi.
“Haziran 2023 itibarıyla, Luna Moth olarak da adlandırılan Silent Ransom Group (SRG), kurbanlara bir kimlik avı girişiminde, genellikle kurbanların hesabında bekleyen suçlamalarla ilgili bir telefon numarası göndererek geri arama kimlik avı veri hırsızlığı ve gasp saldırıları gerçekleştirdi.” FBI söyledi.
Bir kurbanın hileye kanması ve verilen telefon numarasını araması durumunda, kötü niyetli aktörler, onları takip e-postasında verilen bir bağlantı aracılığıyla meşru bir sistem yönetim aracı yüklemeye yönlendirdi.”
Ajans, saldırganların daha sonra yönetim aracını kötü amaçlı faaliyetler için yeniden kullanılabilecek diğer orijinal yazılımları yüklemek için kullandığını, aktörlerin yerel dosyaları ve ağ paylaşımlı sürücülerini tehlikeye attığını, kurban verilerini sızdırdığını ve şirketlere şantaj yaptığını belirtti.