ย้ายแฮกเกอร์ Pivot ไปที่ SysAid Zero-Day ในการโจมตีแรนซัมแวร์

ย้ายแฮกเกอร์ Pivot ไปที่ SysAid Zero-Day ในการโจมตีแรนซัมแวร์

ประทับเวลา: 9 พฤศจิกายน 2023 6:03 น
ย้ายแฮกเกอร์เปลี่ยนไปสู่ ​​SysAid Zero-Day ใน Ransomware โจมตี PlatoBlockchain Data Intelligence ค้นหาแนวตั้ง AI.

ย้ายไปที่ MOVEit มีการใช้ประโยชน์จากซีโรเดย์แบบใหม่เพื่อปรับใช้ Clop ransomware ในเครือข่ายองค์กร ในครั้งนี้ ผู้คุกคามรายเดียวกันถูกจับได้ว่าใช้ประโยชน์จากข้อบกพร่องในการปรับใช้ซอฟต์แวร์ SysAid IT Support ภายในองค์กร

ไมโครซอฟท์ ประกาศข้อบกพร่องซึ่งติดตามภายใต้ CVE-2023-47246 เมื่อวันที่ 8 พ.ย. โดยเสริมว่า SysAid ได้ออกแพตช์แล้ว Sasha Shapirov CTO ของ SysAid อธิบายไว้ใน โพสต์บล็อก เผยแพร่ในวันเดียวกับที่บริษัทได้รับทราบถึงช่องโหว่ดังกล่าวเมื่อวันที่ 2 พ.ย. ซึ่งทำให้เกิดการสืบสวนและแก้ไขโดยทันที

SysAid นำเสนอฝ่ายช่วยเหลือด้านไอทีและสนับสนุนบริการอัตโนมัติสำหรับองค์กรในภาคส่วนต่างๆ ที่ให้ความสำคัญกับข้อมูล รวมถึงการดูแลสุขภาพ ทรัพยากรมนุษย์ การศึกษาระดับอุดมศึกษา และการผลิต บริษัทไม่ตอบสนองต่อคำร้องขอความคิดเห็นเกี่ยวกับจำนวนผู้ที่อาจเป็นเหยื่อของการโจมตีทางไซเบอร์ในทันที

ทีมข่าวกรองภัยคุกคามของ Microsoft ระบุว่าผู้คุกคามที่อยู่เบื้องหลังการโจมตีคือ Lace Tempest หรือที่รู้จักในชื่อ DEV-0950 ซึ่งเป็นที่รู้จักในการปรับใช้ Clop ransomware สำหรับแคมเปญกรรโชกทรัพย์ กลุ่มนี้ใช้แรนซัมแวร์สายพันธุ์เดียวกันกับ ย้ายช่องโหว่แบบ Zero-day ในการโจมตีแบบสายฟ้าแลบที่ทำลายองค์กรหลายร้อยแห่ง

"การสืบสวนระบุช่องโหว่ Path Traversal ที่ไม่รู้จักก่อนหน้านี้ ซึ่งนำไปสู่การเรียกใช้โค้ดภายในซอฟต์แวร์ SysAid ภายในองค์กร” Shapirov อธิบาย “ผู้โจมตีอัปโหลดไฟล์เก็บถาวร WAR ที่มี WebShell และเพย์โหลดอื่น ๆ ลงในเว็บรูทของบริการเว็บ SysAid Tomcat”

ผู้บริหาร SysAid แนะนำให้ทีมองค์กรที่ใช้งาน SysAid เวอร์ชันภายในองค์กรควรเปิด Playbook การตอบสนองต่อเหตุการณ์และอัปเดตแพตช์ให้ทันสมัยอยู่เสมอเมื่อพร้อมใช้งาน โพสต์นี้ยังให้ตัวบ่งชี้โดยละเอียดของการประนีประนอม (IoC)

“เราขอแนะนำให้ลูกค้าทุกคนที่มีการติดตั้งเซิร์ฟเวอร์ SysAid ภายในองค์กรเพื่อให้แน่ใจว่าระบบ SysAid ของคุณได้รับการอัปเดตเป็นเวอร์ชัน 23.3.36 ซึ่งจะแก้ไขช่องโหว่ที่ระบุ และดำเนินการประเมินการประนีประนอมที่ครอบคลุมของเครือข่ายของคุณ เพื่อค้นหาตัวบ่งชี้ใดๆ ที่กล่าวถึงเพิ่มเติมด้านล่าง ชาปิรอฟกล่าวเสริม “คุณควรระบุตัวบ่งชี้ใดๆ ดำเนินการทันทีและปฏิบัติตามระเบียบการตอบสนองต่อเหตุการณ์ของคุณ”

ปัญหาเกี่ยวกับการแพตช์ภายในองค์กร

ข้อเท็จจริงที่ว่าช่องโหว่ SysAid นี้ส่งผลกระทบต่ออินสแตนซ์ภายในองค์กรมีแนวโน้มที่จะชะลอการแพทช์ในหลายองค์กร ตามที่ John Gallagher รองประธานของ Viakoo Labs

“องค์กรจำนวนมากลืมการติดตามว่าใครเป็นผู้รับผิดชอบการปรับใช้ภายในองค์กร เว้นแต่จะได้รับการจัดการโดยฝ่ายไอที” Gallagher กล่าว “องค์กรควรมีรายการสินทรัพย์ที่สมบูรณ์ รวมถึงการค้นพบตามแอปพลิเคชัน”

เนื่องจากต้นทุนที่เกี่ยวข้องกับการ ย้ายมันละเมิด การค้นพบ SysAid ใหม่นี้มีจำนวนเพิ่มขึ้นเป็นพันล้านทำให้เกิดความตื่นตระหนกและแสดงให้เห็นถึงความจำเป็นที่สำคัญสำหรับทีมรักษาความปลอดภัยขององค์กรในการตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่อย่างรวดเร็ว

“ความเสียหายที่อาจเกิดขึ้นจากช่องโหว่ SysAid จะขึ้นอยู่กับปัจจัยต่างๆ เช่น ความแพร่หลายของการใช้ประโยชน์ ความเร็วในการใช้แพตช์ และความอ่อนไหวของข้อมูลที่เข้าถึง” เครก โจนส์ รองประธานฝ่ายปฏิบัติการด้านความปลอดภัยของ Ontinue กล่าว “เมื่อพิจารณาจากกลยุทธ์ในอดีตของกลุ่ม Clop ดังที่เห็นในเหตุการณ์ MOVEit และแรงจูงใจทางการเงินของพวกเขา จึงมีความเสี่ยงที่จะได้รับผลกระทบอย่างมีนัยสำคัญ หากช่องโหว่ของ SysAid ไม่ได้รับการแก้ไขอย่างรวดเร็วและมีประสิทธิภาพ”

เพื่อเตรียมพร้อมล่วงหน้าสำหรับแคมเปญซีโรเดย์ครั้งต่อไป Paul Laudansky ผู้อำนวยการฝ่ายวิจัยด้านความปลอดภัยของ Onapsis แนะนำว่าทีมรักษาความปลอดภัยจำเป็นต้องเข้าใจสิ่งที่อยู่ในเครือข่ายให้ชัดเจนและติดตามอย่างมีประสิทธิภาพ ซึ่งรวมถึงไฟร์วอลล์ที่กำหนดค่าเพื่อระบุเส้นทางการข้ามผ่าน การตรวจสอบการดำเนินการและการมีส่วนร่วมของเว็บเชลล์ และอื่นๆ อีกมากมาย เขาอธิบายผ่านทางอีเมล

“การโจมตีครั้งนี้เป็นการปลุกครั้งใหญ่สำหรับบริษัทต่างๆ ที่ขาดความสามารถในการตรวจจับภัยคุกคามที่เหมาะสม ความเข้าใจ และการทำแผนที่ระบบนิเวศแบบ end-to-end” Laudansky กล่าวเสริม “องค์กรควรเข้าใจสภาพแวดล้อมของตนและปรับแต่งการแจ้งเตือนอย่างสม่ำเสมอ”

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด