- Nhóm tấn công Lace Tempest đã được biết đến với chiến dịch tấn công mới bằng việc khai thác lỗ hổng zero-day tồn tại trên phần mềm hỗ trợ SysAid IT.
Lace Tempest nổi tiếng với việc phát tán mã độc ransomware Cl0p, trước đây đã từng khai thác các lỗ hổng zero-day tồn tại trên MOVEit Transfer và máy chủ PaperCut.
Lỗ hổng an toàn thông tin với mã định danh CVE-2023-47245 là một lỗi đường dẫn truyền tải, sau khi bị khai thác sẽ cho phép đối tượng tấn công thực thi mã trong quá trình cài đặt tại chỗ.
Hiện nay, lỗ hổng này đã được vá trong phiên bản 23.3.36 của phần mềm. Sau khi khai thác lỗ hổng CVE-2023-47245, nhóm Lace Tempest thực thi các câu lệnh qua phần mềm SysAid để tải xuống bộ tải mã độc cho Gracewire.
 |
| Ảnh minh họa |
Sau đó, chuỗi tấn công được tiếp nối bởi các tác vụ thực hiện thủ công bởi đối tượng tấn công như leo thang đặc quyền ngang, đánh cắp dữ liệu và triển khai ransomware.
Theo SysAid, nhóm tấn công đã tải lên một file lưu trữ WAR có chứa webshell và các dữ liệu độc hại khác vào thư mục gốc của dịch vụ web SysAid Tomcat. Ngoài vai trò làm backdoor cho thiết bị nhiễm mã độc, webshell này còn được sử dụng để tải xuống một tập lệnh PowerShell được thiết kế để tải xuống mã độc Gracewire.
Sau đó, nhóm Lace Tempest triển khai thêm một tập lệnh PowerShell thứ hai được sử dụng để xóa dấu vết của lỗ hổng sau khi khai thác payload độc hại. Điểm đặc trưng trong chuỗi tấn công này là việc sử dụng MeshCentral Agent cùng với PowerShell để tải và thực thi Cobalt Strike, đây là một framework hậu khai thác hợp pháp.
Các đơn vị đang sử dụng SysAid cần cập nhật bản vá sớm nhất có thể để hạn chế nguy cơ bị tấn công ransomware và kiểm tra môi trường làm việc để phát hiện kịp thời các dấu hiệu bị khai thác bởi lỗ hổng này.
Thông báo này được đưa ra sau khi FBI cảnh báo về các đối tượng tấn công mạng đang nhằm mục tiêu tấn công vào các nhà cung cấp phần mềm trung gian và lợi dụng các công cụ hợp pháp để xâm nhập vào hệ thống thông tin của các tổ chức, doanh nghiệp.
Nếu người dùng bị lừa gọi đến số điện thoại do các đối tượng tấn công cung cấp và cài đặt một công cụ quản lý hợp pháp qua đường dẫn gửi từ email, nhóm đối tượng này có thể lợi dụng công cụ quản lý hợp pháp đó để thực hiện các tác vụ độc hại như xâm nhập vào các file cục bộ, ổ đĩa được chia sẻ qua mạng, đánh cắp dữ liệu cá nhân và tống tiền các tổ chức, doanh nghiệp.
PV
