Alerte Zero-Day : Lace Tempest exploite une vulnérabilité critique dans SysAid

Lace Tempest, connu pour avoir diffusé le ransomware Cl0p, a par le passé exploité des failles de type « zero-day » dans les serveurs MOVEit Transfer et PaperCut.
Le problème, répertorié sous le nom de CVE-2023-47246, concerne une faille de traversée de chemin qui pourrait entraîner l’exécution de code dans les installations sur site. Elle a été corrigée par SysAid dans la version 23.3.36 du logiciel.
« Après avoir exploité la vulnérabilité, Lace Tempest a émis des commandes via le logiciel SysAid pour livrer un chargeur de logiciels malveillants pour le logiciel malveillant Gracewire », a déclaré Microsoft.
« Cette opération est généralement suivie d’une activité humaine, y compris un mouvement latéral, un vol de données et le déploiement d’un ransomware ».
Selon SysAid, l’acteur de la menace a été observé en train de télécharger une archive WAR contenant un shell web et d’autres charges utiles dans la racine web du service web Tomcat de SysAid.
Le shell web, en plus de fournir à l’acteur de la menace un accès par une porte dérobée à l’hôte compromis, est utilisé pour fournir un script PowerShell conçu pour exécuter un chargeur qui, à son tour, charge Gracewire.
Les attaquants ont également déployé un second script PowerShell qui sert à effacer les preuves de l’exploitation après le déploiement des charges utiles malveillantes.
En outre, les chaînes d’attaque se caractérisent par l’utilisation de MeshCentral Agent et de PowerShell pour télécharger et exécuter Cobalt Strike – un cadre légitime de post-exploitation -.
Il est vivement recommandé aux organisations qui utilisent SysAid d’appliquer les correctifs dès que possible afin de contrecarrer les attaques potentielles de ransomware et d’analyser leurs environnements pour détecter les signes d’exploitation avant d’appliquer les correctifs.
Ce développement intervient alors que le FBI (Federal Bureau of Investigation) des États-Unis a averti que les attaquants de ransomware ciblent des fournisseurs tiers et des outils système légitimes pour compromettre les entreprises.
« En juin 2023, SRG, également appelé Luna Moth, a mené des attaques de vol de données et d’extorsion par hameçonnage en envoyant aux victimes un numéro de téléphone dans le cadre d’une tentative d’hameçonnage portant généralement sur des frais en attente sur le compte des victimes », a déclaré le FBI.
Si la victime tombe dans le piège et appelle le numéro de téléphone fourni, les acteurs malveillants lui demandent d’installer un outil de gestion de système légitime via le lien fourni dans l’e-mail de suivi ».
Les attaquants ont ensuite utilisé l’outil de gestion pour installer d’autres logiciels authentiques qui peuvent être réutilisés pour des activités malveillantes. L’agence a ajouté que les acteurs compromettaient les fichiers locaux et les lecteurs partagés du réseau, exfiltraient les données des victimes et extorquaient les entreprises.