0day в SysAid: утечка данных и финансовые потери

Киберпреступники активно используют уязвимость нулевого дня в программном обеспечении SysAid, которая позволяет проникать на корпоративные серверы, похищать данные и устанавливать программу-вымогатель Clop. SysAid — это комплексное решение для управления IT-услугами, включающее в себя множество инструментов для организаций.

Речь идёт об уязвимости обхода пути CVE-2023-47246 , которая была впервые замечена 2 ноября при атаке на серверы SysAid и приводит к несанкционированному выполнению кода. Команда Microsoft Threat Intelligence выявила эксплуатацию проблемы и оповестила разработчиков SysAid.

Проникновение осуществлялось через загрузку вредоносного WAR-архива в корневой каталог веб-службы Tomcat SysAid. Это открыло путь для выполнения дополнительных скриптов и внедрения вредоносного ПО GraceWire в доверенные процессы системы. Также сообщается, что загрузчик вредоносного ПО ('user.exe') предусмотрительно проверял наличие продуктов безопасности Sophos перед выполнением действий.

После эксфильтрации данных злоумышленники устремились скрыть следы, удаляя журналы активности с помощью скриптов PowerShell. Кроме того, группа Lace Tempest (Fin11, TA505), которую связывают с обнаруженными атаками, задействовала дополнительные скрипты для подключения к серверам Cobalt Strike.

В ответ на угрозу SysAid оперативно выпустила исправление для CVE-2023-47246. Пользователям сервиса рекомендуется обновиться до версии 23.3.36 или более новой. Для предотвращения дальнейших инцидентов системным администраторам следует провести детальную проверку серверов, обратив внимание на необычные файлы в корневом каталоге Tomcat SysAid, наличие WebShell и изменения в журналах активности. Важно также мониторить ключевые системные процессы и проверять журналы PowerShell на соответствие описанным схемам атак.

Отчет SysAid включает индикаторы компрометации (Indicator of Compromise, IOC), которые могут помочь в обнаружении вторжений, такие как имена файлов, хеши, IP-адреса и пути к файлам, а также команды злоумышленников для скачивания вредоносного ПО или удаления следов проникновения.