I ricercatori di Microsoft hanno scoperto una vulnerabilità zero-day nel software SysAid, attualmente sfruttata dal famigerato gruppo Clop per distribuire l’omonimo ransomware. L’azienda israeliana che sviluppa la popolare soluzione di IT Service Management (ITSM) ha pubblicato un bollettino di sicurezza per descrivere il problema e rilasciato l’aggiornamento che include la patch.
Ransomware Clop tramite exploit per SysAid
La vulnerabilità, indicata con CVE-2023-47246 e scoperta il 2 novembre, viene attivamente usata per eseguire codice infetto sui server on-premise di SysAid. In dettaglio, il bug viene sfruttato dal gruppo Clop (noto anche come Lace Tempest) per caricare nella webroot del servizio SysAid Tomcat un archivio WAR (Web Application Resource) che contiene una WebShell e altri payload.
Utilizzando la WebShell, i cybercriminali installano uno script PowerShell che permette di iniettare il trojan GraceWire in tre processi legittimi (spoolsv.exe, msiexec.exe e svchost.exe). Il loader del malware (user.exe) verifica la presenza dei processi associati alle soluzioni di sicurezza di Sophos. Lo script PowerShell viene usato anche per eliminare le tracce dai file di log.
Microsoft ha notato che i cybercriminali usano un altro script PowerShell per installare un listener CobaltStrike sui computer host. La patch è stata inclusa a partire dalla versione 23.3.36 di SysAid. È quindi necessario procedere subito all’aggiornamento del software.
L’azienda israeliana fornisce anche alcuni consigli per verificare la presenza di infezioni, tra cui quello di controllare se nella webroot del servizio SysAid Tomcat ci sono file sospetti con estensione WAR, ZIP o JSP con date diverse da quelle dei file del software. L’eventuale caricamento del malware può essere segnalato dall’eccessivo consumo di memoria o dal traffico di rete inusuale.
Ti potrebbe interessare
13 nov 2023