Cảnh báo: khai thác lỗ hổng an toàn thông tin trên phần mềm hỗ trợ SysAid IT

0
0

- Nhóm tấn công Lace Tempest đã được biết đến với chiến dịch tấn công mới bằng việc khai thác lỗ hổng zero-day tồn tại trên phần mềm hỗ trợ SysAid IT.

Lace Tempest nổi tiếng với việc phát tán mã độc ransomware Cl0p, trước đây đã từng khai thác các lỗ hổng zero-day tồn tại trên MOVEit Transfer và máy chủ PaperCut.

Lỗ hổng an toàn thông tin với mã định danh CVE-2023-47245 là một lỗi đường dẫn truyền tải, sau khi bị khai thác sẽ cho phép đối tượng tấn công thực thi mã trong quá trình cài đặt tại chỗ.

Hiện nay, lỗ hổng này đã được vá trong phiên bản 23.3.36 của phần mềm. Sau khi khai thác lỗ hổng CVE-2023-47245, nhóm Lace Tempest thực thi các câu lệnh qua phần mềm SysAid để tải xuống bộ tải mã độc cho Gracewire.

Ảnh minh họa
Ảnh minh họa

Sau đó, chuỗi tấn công được tiếp nối bởi các tác vụ thực hiện thủ công bởi đối tượng tấn công như leo thang đặc quyền ngang, đánh cắp dữ liệu và triển khai ransomware.

Theo SysAid, nhóm tấn công đã tải lên một file lưu trữ WAR có chứa webshell và các dữ liệu độc hại khác vào thư mục gốc của dịch vụ web SysAid Tomcat. Ngoài vai trò làm backdoor cho thiết bị nhiễm mã độc, webshell này còn được sử dụng để tải xuống một tập lệnh PowerShell được thiết kế để tải xuống mã độc Gracewire.

Sau đó, nhóm Lace Tempest triển khai thêm một tập lệnh PowerShell thứ hai được sử dụng để xóa dấu vết của lỗ hổng sau khi khai thác payload độc hại. Điểm đặc trưng trong chuỗi tấn công này là việc sử dụng MeshCentral Agent cùng với PowerShell để tải và thực thi Cobalt Strike, đây là một framework hậu khai thác hợp pháp.

Các đơn vị đang sử dụng SysAid cần cập nhật bản vá sớm nhất có thể để hạn chế nguy cơ bị tấn công ransomware và kiểm tra môi trường làm việc để phát hiện kịp thời các dấu hiệu bị khai thác bởi lỗ hổng này.

Thông báo này được đưa ra sau khi FBI cảnh báo về các đối tượng tấn công mạng đang nhằm mục tiêu tấn công vào các nhà cung cấp phần mềm trung gian và lợi dụng các công cụ hợp pháp để xâm nhập vào hệ thống thông tin của các tổ chức, doanh nghiệp.

Nếu người dùng bị lừa gọi đến số điện thoại do các đối tượng tấn công cung cấp và cài đặt một công cụ quản lý hợp pháp qua đường dẫn gửi từ email, nhóm đối tượng này có thể lợi dụng công cụ quản lý hợp pháp đó để thực hiện các tác vụ độc hại như xâm nhập vào các file cục bộ, ổ đĩa được chia sẻ qua mạng, đánh cắp dữ liệu cá nhân và tống tiền các tổ chức, doanh nghiệp.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.