MOVEit黑客在勒索软件攻击中转向SysAid零日

Clop勒索软件组织在利用MOVEit文件传输漏洞在企业系统中猖獗后，正在积极利用SysAid的零日漏洞。除了MOVEit，还有一个新的零日漏洞被用来将Clop勒索软件部署到企业网络中。这一次，同样的威胁参与者被发现利用了SysAid IT Support软件内部部署中的一个漏洞。

微软于11月8日公布了该漏洞，并表示SysAid已经发布了补丁。SysAid的首席技术官Sasha Shapirov在同一天发表的一篇博客文章中解释说，该公司在11月2日意识到这一漏洞，并立即展开了调查和补救工作。

SysAid为各种数据敏感行业(包括医疗保健、人力资源、高等教育和制造业)的组织提供IT帮助台和支持服务自动化。该公司没有立即回应就潜在或已确定的网络攻击受害者数量发表评论的请求。

微软威胁情报团队确定，该漏洞背后的威胁行为者是Lace Tempest，也被称为DEV-0950，该公司以部署Clop勒索软件进行勒索活动而闻名。该组织对MOVEit的零日漏洞发动了一系列闪电战，对数百家组织造成了损害。

Shapirov解释说:“调查发现了一个以前未知的路径遍历漏洞，导致SysAid内部软件中的代码执行。攻击者将包含WebShell和其他有效负载的WAR归档文件上传到SysAid Tomcat Web服务的Web浏览器中。”

SysAid高管建议，运行本地SysAid版本的企业团队应该打开事件响应手册，并在可用补丁时保持更新。该帖子还提供了详细的妥协指标(ioc)。

Shapirov补充说:“我们敦促所有安装SysAid本地服务器的客户确保您的SysAid系统更新到23.3.36版本，该版本修复了已识别的漏洞，并对您的网络进行了全面的危害评估，以寻找下面进一步讨论的任何指标。如果你发现任何迹象，立即采取行动，并遵循你的事件响应协议。”

Viakoo Labs的副总裁John Gallagher表示：“事实上，SysAid漏洞会影响内部部署实例，这可能会推迟许多企业的补丁。许多组织不知道谁负责内部部署，除非他们由IT管理。组织应该有一个完整的资产清单，包括基于应用程序的发现。”

随着MOVEit漏洞造成的损失飙升至数十亿美元，SysAid的这一新发现令人担忧，并表明企业安全团队迫切需要对新出现的威胁做出快速反应。

Ontinue安全运营副总裁克雷格•琼斯(Craig Jones)表示：“SysAid漏洞的潜在危害将取决于一些因素，比如利用的范围有多广、打补丁的速度有多快，以及被访问数据的敏感性。考虑到Clop集团的历史策略，如MOVEit事件所示，以及他们可能的经济动机，如果不迅速有效地缓解SysAid漏洞，就有可能产生重大影响。”

为了提前应对下一个零日攻击，Onapsis的安全研究主管Paul Laudansky建议，安全团队需要清楚他们的网络中有什么，并进行有效的监控。他在电子邮件中解释说，这包括配置防火墙来识别路径穿越、监控webshell的执行和参与等等。

Laudansky补充说:“对于那些缺乏适当的威胁检测能力、对端到端生态系统的理解和映射的公司来说，这次攻击是一个巨大的警钟。组织应该了解他们的环境，并定期调整警报。”