Новости 0day в SysAid: утечка данных и финансовые потери

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Компания призвала обновить прошивку, чтобы не стать жертвой жестокой группы вымогателей.


qwdk3iq2sxlt3x1xrewhzqdq7zac3tfy.jpg


Киберпреступники активно используют уязвимость нулевого дня в программном обеспечении SysAid, которая позволяет проникать на корпоративные серверы, похищать данные и устанавливать программу-вымогатель Clop. SysAid — это комплексное решение для управления IT-услугами, включающее в себя множество инструментов для организаций.

Речь идёт об уязвимости обхода пути Для просмотра ссылки Войди или Зарегистрируйся , которая была впервые замечена 2 ноября при атаке на серверы SysAid и приводит к несанкционированному выполнению кода. Команда Microsoft Threat Intelligence Для просмотра ссылки Войди или Зарегистрируйся эксплуатацию проблемы и оповестила разработчиков SysAid.

Проникновение осуществлялось через загрузку вредоносного WAR -архива в корневой каталог веб-службы Tomcat SysAid. Это открыло путь для выполнения дополнительных скриптов и внедрения вредоносного ПО GraceWire в доверенные процессы системы. Также сообщается, что загрузчик вредоносного ПО ('user.exe') предусмотрительно проверял наличие продуктов безопасности Sophos перед выполнением действий.

После эксфильтрации данных злоумышленники устремились скрыть следы, удаляя журналы активности с помощью скриптов PowerShell . Кроме того, группа Lace Tempest (Fin11, TA505), которую связывают с обнаруженными атаками, задействовала дополнительные скрипты для подключения к серверам Cobalt Strike .

В ответ на угрозу SysAid оперативно выпустила исправление для CVE-2023-47246. Пользователям сервиса рекомендуется обновиться до версии 23.3.36 или более новой. Для предотвращения дальнейших инцидентов системным администраторам следует провести детальную проверку серверов, обратив внимание на необычные файлы в корневом каталоге Tomcat SysAid, наличие WebShell и изменения в журналах активности. Важно также мониторить ключевые системные процессы и проверять журналы PowerShell на соответствие описанным схемам атак.

Отчет SysAid включает индикаторы компрометации (Indicator of Compromise, IOC), которые могут помочь в обнаружении вторжений, такие как имена файлов, хеши, IP-адреса и пути к файлам, а также команды злоумышленников для скачивания вредоносного ПО или удаления следов проникновения.
 
Источник новости
www.securitylab.ru

Похожие темы