Atores maliciosos estão explorando uma vulnerabilidade zero-day no software de gerenciamento de serviços SysAid para obter acesso a servidores corporativos para roubo de dados e para implementar o ransomware Clop.
O SysAid é uma solução abrangente de Gerenciamento de Serviços de TI (ITSM) que fornece um conjunto de ferramentas para gerenciar vários serviços de TI dentro de uma organização.
O ransomware Clop é notório por explorar vulnerabilidades zero-day em softwares amplamente usados.
Exemplos recentes incluem MOVEit Transfer, GoAnywhere MFT e Accellion FTA.
Atualmente identificado como
CVE-2023-47246
, a vulnerabilidade foi descoberta em 2 de novembro, após hackers a explorarem para violar servidores SysAid no local.
A equipe de Inteligência de Ameaças da Microsoft descobriu o problema de segurança sendo explorado e alertou a SysAid.
A Microsoft determinou que a vulnerabilidade foi usada para implementar o ransomware Clop por um ator de ameaça que ela monitora como Lace Tempest (também conhecido como Fin11 e TA505).
A SysAid publicou um relatório na quarta-feira revelando que o
CVE-2023-47246
é uma vulnerabilidade de percurso que leva à execução não autorizada de código.
A empresa também compartilha detalhes técnicos do ataque descobertos após uma investigação da empresa de resposta rápida a incidentes Profero.
O ator malicioso utilizou a falha zero-day para carregar no webroot do serviço web SysAid Tomcat um arquivo WAR (Web Application Resource) contendo um webshell.
Isso permitiu aos atores de ameaça executar scripts adicionais do PowerShell e carregar o malware GraceWire, que foi injetado em um processo legítimo (por exemplo, spoolsv.exe, msiexec.exe, svchost.exe).
O relatório observa que o carregador de malware ('user.exe') verifica os processos em execução para garantir que os produtos de segurança Sophos não estejam presentes no sistema comprometido.
Após exfiltrar dados, o ator de ameaça tentou apagar seus rastros usando outro script PowerShell que excluía logs de atividades.
A Microsoft também notou que a Lace Tempest implementou scripts adicionais que buscaram um ouvinte Cobalt Strike em hosts comprometidos.
Após aprender sobre a vulnerabilidade, a SysAid trabalhou rapidamente para desenvolver um patch para o
CVE-2023-47246
, que está disponível em uma atualização de software.
Todos os usuários SysAid são fortemente recomendados a mudar para a versão 23.3.36 ou posterior.
Os administradores de sistema também devem verificar os servidores em busca de sinais de comprometimento, seguindo as etapas abaixo:
Verifique o webroot do SysAid Tomcat por arquivos incomuns, especialmente arquivos WAR, ZIP ou JSP com carimbos de data e hora anômalos.
Procure por arquivos WebShell não autorizados no serviço SysAid Tomcat e inspecione os arquivos JSP em busca de conteúdo malicioso.
Revise os logs para processos filhos inesperados de Wrapper.exe, que podem indicar o uso de WebShell.
Verifique os logs do PowerShell para execuções de script que estão alinhados com os padrões de ataque descritos.
Monitore processos-chave como spoolsv.exe, msiexec.exe, svchost.exe para sinais de injeção de código não autorizado.
Aplique os IOCs fornecidos para identificar quaisquer sinais da vulnerabilidade sendo explorada.
Procure por evidências de comandos específicos do invasor que indiquem compromisso do sistema.
Execute verificações de segurança para indicadores maliciosos conhecidos relacionados à vulnerabilidade.
Procure por conexões com os endereços IP C2 listados.
Verifique se há sinais de limpeza liderada pelo invasor para esconder sua presença.
O relatório da SysAid fornece indicadores de comprometimento que podem ajudar a detectar ou prevenir a intrusão, que consistem em nomes de arquivos e hashes, endereços IP, caminhos de arquivos usados no ataque e comandos que o ator de ameaça usou para baixar malware ou para excluir evidências de acesso inicial.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...