根據(jù)微軟的最新發(fā)現(xiàn)，以傳播 Clop 勒索軟件而聞名的 Lace Tempest 黑客組織，近日利用 SysAid IT 支持軟件的零日漏洞實施了攻擊。該黑客組織曾經(jīng)還利用 MOVEit Transfer 和 PaperCut 服務(wù)器中的零日漏洞實施過其他攻擊。

此次的漏洞被追蹤為 CVE-2023-47246，涉及一個路徑遍歷漏洞，可能導(dǎo)致黑客在內(nèi)部安裝中執(zhí)行惡意代碼。不過SysAid 已在 23.3.36 版軟件中修補了這個漏洞。

微軟方面表示：Lace Tempest 黑客組織在利用了該漏洞后，會通過 SysAid 軟件發(fā)出命令，從而為 Gracewire 惡意軟件提供惡意軟件加載器。然后通過人為操作的惡意活動，比如橫向移動、數(shù)據(jù)竊取和勒索軟件部署等等達(dá)到進(jìn)一步的攻擊目的。

據(jù) SysAid 稱一經(jīng)發(fā)現(xiàn)有黑客將包含網(wǎng)絡(luò)外殼和其他有效載荷的 WAR 存檔上傳到了 SysAid Tomcat 網(wǎng)絡(luò)服務(wù)的 webroot 中。而Web Shell 除了為威脅者提供后門訪問被攻擊主機的權(quán)限外，還用于發(fā)送 PowerShell 腳本，這個腳本主要是為了執(zhí)行加載器，再反過來加載 Gracewire。同時，攻擊者還部署了第二個 PowerShell 腳本，用于在部署惡意有效載荷后清除利用證據(jù)。

而攻擊鏈的特點是使用 MeshCentral 代理和 PowerShell 下載并運行 Cobalt Strike，這是一個合法的后剝削框架。

所以為了更大程度的降低勒索軟件攻擊的傷害，使用 SysAid 的企業(yè)最好盡快安裝補丁。同時要注意在打補丁之前掃描環(huán)境，看看是否有被利用的跡象。