Ciberseguridad 360 | Lace Tempest explota vulnerabilidad zero-day de SysAid

El grupo de hackers conocido como Lace Tempest ha sido vinculado a la explotaci�n de un fallo zero-day en el software de soporte inform�tico SysAid en ataques limitados, seg�n nuevos hallazgos de Microsoft.

Lace Tempest, conocida por distribuir el ransomware Cl0p, ha aprovechado en el pasado fallos zero-day en los servidores MOVEit Transfer y PaperCut.

El problema, rastreado como CVE-2023-47246, se refiere a un fallo de recorrido de ruta que podr�a dar lugar a la ejecuci�n de c�digo en instalaciones locales. Ha sido parcheado por SysAid en la versi�n 23.3.36 del software.

"Despu�s de explotar la vulnerabilidad, Lace Tempest emiti� comandos a trav�s del software SysAid para entregar un cargador de malware para el malware Gracewire", dijo Microsoft.

"Esto es t�picamente seguido por actividad operada por humanos, incluyendo movimiento lateral, robo de datos y despliegue de ransomware".

Seg�n SysAid, se ha observado al actor de la amenaza cargando un archivo WAR que contiene un shell web y otras cargas �tiles en la ra�z web del servicio web Tomcat de SysAid.

La shell web, adem�s de proporcionar al actor de la amenaza acceso de puerta trasera al host comprometido, se utiliza para entregar un script PowerShell dise�ado para ejecutar un cargador que, a su vez, carga Gracewire.

Los atacantes tambi�n despliegan un segundo script PowerShell que se utiliza para borrar la evidencia de la explotaci�n despu�s de que se hayan desplegado las cargas maliciosas.

Adem�s, las cadenas de ataque se caracterizan por el uso del agente MeshCentral, as� como de PowerShell para descargar y ejecutar Cobalt Strike, un marco leg�timo de post-explotaci�n.

Se recomienda encarecidamente a las organizaciones que utilizan SysAid que apliquen los parches lo antes posible para frustrar posibles ataques de ransomware, as� como que analicen sus entornos en busca de indicios de explotaci�n antes de aplicar los parches.

El hecho se produce cuando la Oficina Federal de Investigaci�n de Estados Unidos (FBI) advirti� que los atacantes de ransomware est�n apuntando a terceros proveedores y herramientas de sistemas leg�timos para comprometer a las empresas.

"A partir de junio de 2023, el Silent Ransom Group (SRG), tambi�n llamado Luna Moth, llev� a cabo ataques de extorsi�n y robo de datos de phishing de devoluci�n de llamada enviando a las v�ctimas un n�mero de tel�fono en un intento de phishing, generalmente relacionado con cargos pendientes en la cuenta de las v�ctimas", dijo el FBI.

Si una v�ctima ca�a en el enga�o y llamaba al n�mero de tel�fono proporcionado, los actores maliciosos le indicaban que instalara una herramienta leg�tima de gesti�n del sistema a trav�s de un enlace proporcionado en un correo electr�nico de seguimiento.

A continuaci�n, los atacantes utilizaban la herramienta de gesti�n para instalar otros programas aut�nticos que pod�an reutilizarse para actividades maliciosas, se�al� la agencia, a�adiendo que los actores compromet�an archivos locales y unidades compartidas de red, exfiltraban datos de las v�ctimas y extorsionaban a las empresas.

Fuente: thehackernews