Lace Tempest, SysAid BT Destek Yazılımındaki Güvenlik Açıklarından Yararlanıyor - Dünyadan Güncel Teknoloji Haberleri

Lace Tempest, SysAid BT Destek Yazılımındaki Güvenlik Açıklarından Yararlanıyor - Dünyadan Güncel Teknoloji Haberleri

Microsoft, “Güvenlik açığından yararlandıktan sonra Lace Tempest, Gracewire kötü amaçlı yazılımı için bir kötü amaçlı yazılım yükleyicisi sağlamak üzere SysAid yazılımı aracılığıyla komutlar yayınladı

Ayrıca, saldırı zincirleri aşağıdakilerin kullanımıyla karakterize edilir: MeshCentral Temsilcisi meşru bir sömürü sonrası çerçeve olan Cobalt Strike’ı indirip çalıştırmak için PowerShell’in yanı sıra

Gelişme, ABD Federal Soruşturma Bürosu’nun (FBI), fidye yazılımı saldırganlarının işletmeleri tehlikeye atmak için üçüncü taraf satıcıları ve meşru sistem araçlarını hedef aldığı konusunda uyarmasının ardından geldi 36 sürümünde SysAid tarafından yama uygulanmıştır

“Bunu genellikle yanal hareket, veri hırsızlığı ve fidye yazılımı dağıtımı dahil olmak üzere insan tarafından gerçekleştirilen faaliyetler izliyor

Web kabuğu, tehdit aktörüne ele geçirilen ana makineye arka kapı erişimi sağlamanın yanı sıra, Gracewire’ı yükleyen bir yükleyiciyi yürütmek üzere tasarlanmış bir PowerShell betiği sunmak için de kullanılıyor 3

“Haziran 2023 itibarıyla, Luna Moth olarak da adlandırılan Silent Ransom Group (SRG), kurbanlara bir kimlik avı girişiminde, genellikle kurbanların hesabında bekleyen suçlamalarla ilgili bir telefon numarası göndererek geri arama kimlik avı veri hırsızlığı ve gasp saldırıları gerçekleştirdi ” FBI söz konusu

Sorun şu şekilde izlendi: CVE-2023-47246, şirket içi kurulumlarda kod yürütülmesine neden olabilecek bir yol geçiş kusuruyla ilgilidir Yazılımın 23


09 Kasım 2023Haber odasıGüvenlik Açığı / Sıfır Gün

Microsoft’un yeni bulgularına göre, Lace Tempest olarak bilinen tehdit aktörü, sınırlı saldırılarda SysAid BT destek yazılımındaki sıfır gün kusurundan yararlanılmasıyla ilişkilendirildi ” söz konusu

SysAid kullanan kuruluşların, olası fidye yazılımı saldırılarını engellemek için yamaları mümkün olan en kısa sürede uygulamaları ve ayrıca yama uygulamadan önce ortamlarını istismar işaretleri açısından taramaları önemle tavsiye edilir

Cl0p fidye yazılımını dağıtmasıyla bilinen Lace Tempest, geçmişte MOVEit Transfer ve PaperCut sunucularındaki sıfır gün kusurlarından yararlanmıştı





siber-2

Saldırganlar tarafından ayrıca kötü amaçlı yükler dağıtıldıktan sonra istismarın kanıtlarını silmek için kullanılan ikinci bir PowerShell betiği de dağıtılıyor

Bir kurbanın hileye kanması ve verilen telefon numarasını araması durumunda, kötü niyetli aktörler, onları takip e-postasında verilen bir bağlantı aracılığıyla meşru bir sistem yönetim aracı yüklemeye yönlendirdi ”

Ajans, saldırganların daha sonra yönetim aracını kötü amaçlı faaliyetler için yeniden kullanılabilecek diğer orijinal yazılımları yüklemek için kullandığını, aktörlerin yerel dosyaları ve ağ paylaşımlı sürücülerini tehlikeye attığını, kurban verilerini sızdırdığını ve şirketlere şantaj yaptığını belirtti ”

SysAid’e göre tehdit aktörü gözlemlendi Bir web kabuğu ve diğer yükleri içeren bir WAR arşivinin SysAid Tomcat web hizmetinin web köküne yüklenmesi