Zero-Day Alert: Lace Tempest Exploits SysAid IT Support Software Vulnerability
2023/11/09 TheHackerNews — Microsoft の新たな調査結果によると、SysAid IT サポート・ソフトウェアのゼロデイ脆弱性を悪用する限定的な攻撃に、Lace Tempest という脅威アクターが関連しているようだ。Cl0p ランサムウェアを配布する Lace Tempest は、これまでに MOVEit Transfer や PaperCut サーバのゼロデイ脆弱性を悪用してきた。SysAid IT のパス・トラバーサルの脆弱性 CVE-2023-47246 は、オンプレミス・インストール内でコード実行にいたるものだとされ、バージョン 23.3.36 で修正されている。
Microsoft は、「この脆弱性を悪用する Lace Tempest は、SysAid ソフトウェア経由でコマンドを発行し、Gracewire マルウェア用のマルウェア・ローダーを配信する。その後に、人手による操作が行われ、横移動/データ窃盗/ランサムウェア展開などが生じることになる」と述べている。
その一方で、SysAid IT が確認しているのは、この脅威アクターは Web シェルなどのペイロードを取り込んだ WAR アーカイブを、同社の Tomcat Web サービスの Web ルートにアップロードしていることだ。
この Web シェルは、侵害したホストへのバックドア・アクセスを脅威アクターに提供するだけではなく、Gracewire のためのローダーを実行するように設計された PowerShell スクリプトを配信するためにも使用される。
また、攻撃者は、悪意のペイロードを展開した後に、悪用の証拠を消去するために使用される、2つ目の PowerShell スクリプトも展開する。
この攻撃チェーンの特徴は、PowerShell を使用することで、MeshCentral エージェントと、最終的なポストエクスプロイト・フレームワークである Cobalt Strike をダウンロード/実行している点にある。
SysAid IT を使用している組織に強く推奨されるのは、可能な限り早急にパッチを適用し、また、環境をスキャンしてパッチ適用前の悪用の兆候を確認することで、潜在的なランサムウェア攻撃を阻止することだ。
先日には、米国連邦捜査局 (FBI) が、ランサムウェア攻撃者がサードパーティ・ベンダーや正規のシステム・ツールを標的とするランサムウェア攻撃者が、企業への侵害を企てていると警告していた。その後に、このような事態が発生している。
FBI は、「2023年6月の時点において、Luna Moth とも呼ばれる Silent Ransom Group (SRG) が標的にフィッシングの電話番号を送り、コールバック・フィッシングによるデータ窃盗や恐喝攻撃を行っている」と指摘していた。
この策略に標的が騙され、提供された電話番号に電話をかけると、後続の電子メールに記載されたリンクを介して、正規のシステム管理ツールをインストールするよう、その脅威アクターは指示していたという。
その後に、攻撃者は管理ツールを使用して、悪意の活動に繰り返して利用できる正規のソフトウェアをインストールし、ローカル・ファイルとネットワーク共有ドライブを侵害し、被害者のデータを流出させ、企業を脅迫したと、当局は指摘していた。
SysAid IT のパス・トラバーサルの脆弱性 CVE-2023-47246 が、Clop ランサムウェアに狙われているようです。SysAid を Wikipedia で調べてみたら、「2002 年に設立されたイスラアエルの企業であり、IT サービス管理ソフトウェアを開発/提供する。SysAid は、IT プロフェッショナル向けのソフトウェア・システムであり、地方自治体や保険会社などのプロフェッショナルにより導入/使用されている」、と記されていました。
IoT OT Security News 
You must be logged in to post a comment.