Microsoftは、人気のSysAid ITヘルプデスクソフトウェアに存在するゼロデイ脆弱性を悪用する新たな脅威キャンペーンを明らかにしました。
昨日、X(旧Twitter)に投稿したMicrosoft Threat Intelligenceアカウントは、このグループがMOVEitのデータ窃取および恐喝キャンペーンの背後にいるのと同一であり、Lace Tempest(別名DEV-0950、FIN11、TA505)として知られる脅威アクターであると述べました。
「Microsoftはこの問題(CVE-2023-47246)についてSysAidに通知し、同社は直ちにパッチを適用しました」と投稿は続けています。
「SysAidを使用している組織はパッチを適用し、パッチ適用前に悪用の兆候がないか確認すべきです。Lace Tempestはおそらく、得たアクセスを利用してデータを持ち出し、Clopランサムウェアを展開するでしょう。」
Microsoftは、脆弱性を悪用した後、脅威アクターがSysAid経由でコマンドを実行し、被害者のシステムにGracewireマルウェアのローダーを配信すると説明しました。
「これに続いて通常、ラテラルムーブメント、データ窃取、ランサムウェアの展開など、人手による活動が行われます」と、同アカウントは付け加えました。
Lace Tempestについて詳しく読む:MOVEit悪用の余波が記録的なランサムウェア攻撃を引き起こす
SysAidのアドバイザリで明らかになったところによると、このゼロデイのパストラバーサル脆弱性は、同社のオンプレミスサーバーソフトウェアに影響します。
同社は顧客に対し、直ちにバージョン23.3.36へアップグレードし、侵害の痕跡(IoC)がないか徹底的な評価を実施し、関連ログを確認し、脅威アクターに露出した可能性のある認証情報やその他の情報を見直すよう促しました。
「これはオンプレミスの導入に影響するため、効果的に是正するには長い時間がかかります。クラウドベースの導入とは異なり、これを是正するには多数の組織にわたって個別の対応が必要になります」と、ViakooのViakoo LabsでVPを務めるJohn Gallagherは主張しました。
「これはMOVEitの脆弱性ほど広範にはならないでしょうが、その背後にいる脅威アクターが新たなランサムウェアの脅威を継続的に開発し、展開していることは明らかです。組織はこれを警告として受け止め、特にIoTデバイスやアプリケーションのような非IT資産について、効果的な脅威評価と是正のプロセスを整備すべきです。」
翻訳元: https://www.infosecurity-magazine.com/news/moveit-gang-targets-sysaid-zeroday/
