Các kẻ đe dọa đang khai thác lỗ hổng zero-day trong phần mềm quản lý dịch vụ SysAid để giành quyền truy cập vào máy chủ của công ty nhằm đánh cắp dữ liệu và triển khai phần mềm ransomware Clop.

SysAid là giải pháp Quản lý Dịch vụ CNTT (ITSM) toàn diện, cung cấp một bộ công cụ để quản lý các dịch vụ CNTT khác nhau trong một tổ chức.

Phần mềm ransomware Clop nổi tiếng với việc khai thác các lỗ hổng zero-day trong các phần mềm được sử dụng rộng rãi. Các ví dụ gần đây bao gồm MOVEit Transder, MFT GoAnywhere và Accellion FTA.

Vào ngày 2 tháng 1, lỗ hổng được phát hiện có mã định danh là CVE-2023-47246 sau khi tin tặc khai thác để xâm nhập các máy chủ SysAid tại chỗ.

Đội Thông tin về Mối đe dọa của Microsoft đã phát hiện ra vấn đề bảo mật đang bị lợi dụng nghiêm trọng và đã cảnh báo cho SysAid.

Microsoft xác định rằng lỗ hổng bảo mật đã được sử dụng để triển khai ransomware Clop bởi kẻ đe dọa mà nó theo dõi là Lace Tempest (còn gọi là Fin11 và TA505).

Chi tiết tấn công

SysAid đã công bố một báo cáo vào thứ Tư tiết lộ rằng CVE-2023-47246 là một lỗ hổng truyền tải đường dẫn dẫn đến việc thực thi mã trái phép. Công ty cũng chia sẻ các chi tiết kỹ thuật của cuộc tấn công được phát hiện sau cuộc điều tra từ công ty ứng phó sự cố nhanh chóng Profero.

Kẻ tấn công đã lợi dụng lỗ hổng zero-day để tải lên webroot của dịch vụ web SysAid Tomcat- một kho lưu trữ WAR (Web Application Resource – Tài nguyên ứng dụng web) có chứa webshell.

Điều này cho phép kẻ tấn công thực thi các tập lệnh PowerShell bổ sung và tải phần mềm độc hại GraceWire đã được đưa vào một quy trình hợp pháp (egspoolsv.exe, msiexec.exe, svchost.exe).

Báo cáo lưu ý rằng trình tải phần mềm độc hại (‘user.exe’) kiểm tra các tiến trình đang chạy để đảm bảo rằng các sản phẩm bảo mật Sophos không có trên hệ thống bị xâm nhập.

Sau khi lọc dữ liệu, kẻ đe dọa đã cố gắng xóa dấu vết của chúng bằng cách sử dụng một tập lệnh PowerShell khác đã xóa nhật ký hoạt động.

Đã có bản cập nhật bảo mật
Sau khi thông tin về lỗ hổng bảo mật được công bố, SysAid đã nhanh chóng cập nhật bản vá khắc phục lỗ hổng CVE-2023-47246. Tất cả người dùng SysAid được khuyến nghị chuyển sang phiên bản 23.3.36 trở lên.

Quản trị viên hệ thống cũng nên kiểm tra máy chủ xem có dấu hiệu bị xâm phạm hay không bằng cách thực hiện theo các bước bên dưới:

  • Kiểm tra webroot SysAid Tomcat để tìm các tệp bất thường, đặc biệt là các tệp WAR, ZIP hoặc JSP có dấu thời gian bất thường.
  • Tìm kiếm các tệp WebShell trái phép trong dịch vụ SysAid Tomcat và kiểm tra các tệp JSP để tìm nội dung độc hại.
  • Xem lại nhật ký về các quy trình con không mong muốn từ Wrapper.exe, điều này có thể cho thấy việc sử dụng WebShell.
  • Kiểm tra nhật ký PowerShell để biết các lần thực thi tập lệnh có phù hợp với các kiểu tấn công được mô tả hay không.
  • Giám sát các quy trình chính như spoolsv.exe, msiexec.exe, svchost.exe để phát hiện các dấu hiệu tiêm mã trái phép.
  • Áp dụng IOC được cung cấp để xác định mọi dấu hiệu cho thấy lỗ hổng đang bị khai thác.
  • Tìm kiếm bằng chứng về các lệnh tấn công cụ thể chỉ ra sự xâm phạm hệ thống.
  • Chạy quét bảo mật để tìm các chỉ báo độc hại đã biết liên quan đến lỗ hổng bảo mật.
  • Tìm kiếm kết nối đến các địa chỉ IP C2 được liệt kê.
  • Kiểm tra các dấu hiệu cleanup do kẻ tấn công thực hiện để che giấu sự hiện diện của chúng.

Báo cáo của SysAid cung cấp các chỉ số về sự xâm phạm có thể giúp phát hiện hoặc ngăn chặn sự xâm nhập, bao gồm tên tệp và hàm băm (Hash function) , địa chỉ IP, đường dẫn tệp được sử dụng trong cuộc tấn công và ra lệnh cho tác nhân đe dọa sử dụng để tải xuống phần mềm độc hại hoặc xóa bằng chứng về quyền truy cập ban đầu.

 

Theo Bleeping Computer