De bedreigingsacteur die bekend staat als Lace Tempest is in verband gebracht met de exploitatie van een zero-day-fout in SysAid IT-ondersteuningssoftware bij beperkte aanvallen, volgens nieuwe bevindingen van Microsoft.
Lace Tempest, bekend van het distribueren van de Cl0p-ransomware, heeft in het verleden gebruik gemaakt van zero-day-fouten in MOVEit Transfer- en PaperCut-servers.
Het probleem, bijgehouden als CVE-2023-47246, betreft een padtraversal-fout die kan leiden tot code-uitvoering binnen installaties op locatie. Het is gepatcht door SysAid in versie 23.3.36 van de software.
“Na misbruik te hebben gemaakt van de kwetsbaarheid, gaf Lace Tempest via de SysAid-software opdrachten uit om een malware-loader voor de Gracewire-malware te leveren”, zegt Microsoft. gezegd.
“Dit wordt doorgaans gevolgd door door mensen bediende activiteiten, waaronder zijwaartse bewegingen, gegevensdiefstal en de inzet van ransomware.”
Volgens SysAid is waargenomen dat de bedreigingsacteur een WAR-archief met een webshell en andere payloads uploadde naar de webroot van de SysAid Tomcat-webservice.
De webshell biedt de bedreigingsactor niet alleen achterdeurtoegang tot de gecompromitteerde host, maar wordt ook gebruikt om een PowerShell-script af te leveren dat is ontworpen om een lader uit te voeren die op zijn beurt Gracewire laadt.
De aanvallers hebben ook een tweede PowerShell-script ingezet dat wordt gebruikt om bewijsmateriaal van de uitbuiting te wissen nadat de kwaadaardige payloads waren geïmplementeerd.
Bovendien worden de aanvalsketens gekenmerkt door het gebruik van de MeshCentral Agent en PowerShell om Cobalt Strike, een legitiem post-exploitatieframework, te downloaden en uit te voeren.
Organisaties die SysAid gebruiken, wordt ten zeerste aanbevolen om de patches zo snel mogelijk toe te passen om potentiële ransomware-aanvallen te dwarsbomen en hun omgevingen te scannen op tekenen van uitbuiting voordat ze patchen.
Deze ontwikkeling komt op het moment dat het Amerikaanse Federal Bureau of Investigation (FBI) waarschuwde dat ransomware-aanvallers zich richten op externe leveranciers en legitieme systeemtools om bedrijven in gevaar te brengen.
“Vanaf juni 2023 voerde de Silent Ransom Group (SRG), ook wel Luna Moth genoemd, callback-phishing-gegevensdiefstal en afpersingsaanvallen uit door slachtoffers een telefoonnummer te sturen in een phishing-poging, meestal met betrekking tot openstaande kosten op de rekening van de slachtoffers,” zei de FBI.
Mocht een slachtoffer in de list trappen en het opgegeven telefoonnummer bellen, dan hebben de kwaadwillende actoren hen opdracht gegeven een legitieme systeembeheertool te installeren via een link in een vervolg-e-mail.”
De aanvallers gebruikten vervolgens de beheertool om andere authentieke software te installeren die kan worden hergebruikt voor kwaadaardige activiteiten, merkte het agentschap op, waarbij de actoren lokale bestanden en gedeelde netwerkschijven in gevaar brachten, de gegevens van slachtoffers exfiltreerden en de bedrijven afpersden.
