Een groep cybercriminelen buit een nieuwe zero-day kwetsbaarheid in on-premises implementaties van SysAid software voor supportafdelingen uit voor de verspreiding van de ransomware Clop. Een update die het beveiligingslek dicht is inmiddels beschikbaar.
Het Microsoft Threat Intelligence team waarschuwt voor de zero-day kwetsbaarheid, die is geïdentificeerd als CVE-2023-47246. Lace Tempest (DEV-0950), een threat actor die zich bezig houdt met de verspreiding van de Clop-ransomware, buit de kwetsbaarheid naar verluid actief uit.
Bij de aanval uploadt de aanvaller een WAR-archief met een WebShell en andere payloads naar de webroot van een SysAid Tomcat webservice. De WebShell geeft de aanvaller ongeautoriseerde toegang en controle over het getroffen systeem. Vervolgens laadt de aanvaller een PowerShell-script via de WebShell, en voert een malware loader genaamd user.exe uit op de besmette host. Deze laadt op zijn beurt de trojan GraceWire, die wordt geïnjecteerd in de processen spoolsv.exe, msiexec.exe en svhost.exe. Vervolgens zetten de aanvallers een tweede PowerShell-script in waarmee zij bewijsmateriaal van hun actie verwijderen uit logbestanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.