“Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından gerçekleştirilen faaliyetler izliyor 36 sürümünde SysAid tarafından yama uygulanmıştır ” söz konusu
Microsoft, “Güvenlik açığından yararlandıktan sonra Lace Tempest, Gracewire kötü amaçlı yazılımı için bir kötü amaçlı yazılım yükleyicisi sağlamak üzere SysAid yazılımı aracılığıyla komutlar yayınladı
Gelişme, ABD Federal Soruşturma Bürosu’nun (FBI), fidye yazılımı saldırganlarının işletmeleri tehlikeye atmak için üçüncü taraf satıcıları ve meşru sistem araçlarını hedef aldığı konusunda uyarmasının ardından geldi
“Haziran 2023 itibarıyla, Luna Moth olarak da adlandırılan Silent Ransom Group (SRG), kurbanlara bir kimlik avı girişiminde, genellikle kurbanların hesabında bekleyen suçlamalarla ilgili bir telefon numarası göndererek geri arama kimlik avı veri hırsızlığı ve gasp saldırıları gerçekleştirdi ” FBI söz konusu Yazılımın 23
siber-2
Sorun şu şekilde izlendi: CVE-2023-47246, şirket içi kurulumlarda kod yürütülmesine neden olabilecek bir yol geçiş kusuruyla ilgilidir
Bir kurbanın hileye kanması ve verilen telefon numarasını araması durumunda, kötü niyetli aktörler, onları takip e-postasında verilen bir bağlantı aracılığıyla meşru bir sistem yönetim aracı yüklemeye yönlendirdi ”
Ajans, saldırganların daha sonra yönetim aracını kötü amaçlı faaliyetler için yeniden kullanılabilecek diğer orijinal yazılımları yüklemek için kullandığını, aktörlerin yerel dosyaları ve ağ paylaşımlı sürücülerini tehlikeye attığını, kurban verilerini sızdırdığını ve şirketlere şantaj yaptığını belirtti
Cl0p fidye yazılımını dağıtmasıyla bilinen Lace Tempest, geçmişte MOVEit Transfer ve PaperCut sunucularındaki sıfır gün kusurlarından yararlanmıştı
Web kabuğu, tehdit aktörüne ele geçirilen ana makineye arka kapı erişimi sağlamanın yanı sıra, Gracewire’ı yükleyen bir yükleyiciyi yürütmek üzere tasarlanmış bir PowerShell betiği sunmak için de kullanılıyor
Ayrıca, saldırı zincirleri aşağıdakilerin kullanımıyla karakterize edilir: MeshCentral Temsilcisi meşru bir sömürü sonrası çerçeve olan Cobalt Strike’ı indirip çalıştırmak için PowerShell’in yanı sıra 3
09 Kasım 2023Haber odasıGüvenlik Açığı / Sıfır Gün
Microsoft’un yeni bulgularına göre, Lace Tempest olarak bilinen tehdit aktörü, sınırlı saldırılarda SysAid BT destek yazılımındaki sıfır gün kusurundan yararlanılmasıyla ilişkilendirildi
SysAid kullanan kuruluşların, olası fidye yazılımı saldırılarını engellemek için yamaları mümkün olan en kısa sürede uygulamaları ve ayrıca yama uygulamadan önce ortamlarını istismar işaretleri açısından taramaları önemle tavsiye edilir
Saldırganlar tarafından ayrıca kötü amaçlı yükler dağıtıldıktan sonra istismarın kanıtlarını silmek için kullanılan ikinci bir PowerShell betiği de dağıtılıyor ”
SysAid’e göre tehdit aktörü gözlemlendi Bir web kabuğu ve diğer yükleri içeren bir WAR arşivinin SysAid Tomcat web hizmetinin web köküne yüklenmesi