องค์กรที่ใช้ซอฟต์แวร์การบริการจัดการเทคโนโลยีสารสนเทศ (ITSM) ของ SysAid
ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่ Zero-Day ที่ถูกใช้ในการโจมตีโดยกลุ่ม Ransomware
โดยการใช้ประโยชน์จากช่องโหว่ Zero-Day ที่ติดตามภายใต้รหัส CVE-2023-47246
ซึ่งถูกพบครั้งแรกโดย Threat Intelligence ของ Microsoft
และรีบแจ้งให้ SysAid ทราบเกี่ยวกับช่องโหว่และการโจมตีที่เกิดขึ้น
บริษัทตรวจสอบพบว่าซอฟต์แวร์ Sysaid ภายในองค์กรได้รับผลกระทบจากช่องโหว่นี้ ซึ่งได้กล่าวว่า
เป็นช่องโหว่บนซอฟต์แวร์ SysAid ที่ทำให้ผู้ไม่ประสงค์ดีสามารถส่งข้อมูลที่ไม่ได้รับอนุญาต เข้าสู่ระบบ และสามารถใช้งาน Execute Code ได้โดยไม่ได้รับอนุญาต และเมื่อ SysAid ทราบเรื่องเกี่ยวกับช่องโหว่ Zero-Day เมื่อวันที่ 2 พฤศจิกายน จึงได้ทำการเผยแพร่เวอร์ชัน 23.3.36 วันที่ 8 พฤศจิกายน เพื่อแก้ไขช่องโหว่นี้ บรษัทยังเผยแพร่ข้อมูลทางเทคนิคเกี่ยวกับการโจมตี และให้คำแนะนำเกี่ยวกับขั้นตอนที่ลูกค้าอาจได้รับผลกระทบ
ข้อมูลจาก Microsoft กล่าวว่า CVE-2023-47246 ได้รับการโจมตีจากผู้ไม่ประสงค์ดีที่ติดตาม
เป็น Lace Tempest หรือเรียกอีกอย่างว่า DEV-0950 ที่ลักษณะการโจมตีที่คล้ายกับกลุ่ม FIN11 และ TA505
ด้วยการใช้ Ransomware ชื่อ Cl0p
Microsoft กล่าวว่ากลุ่ม Lace Tempest ได้ใช้ประโยชน์จากการโจมตี MOVEit Transfer Zero-Day
ที่มีผลกระทบมากกว่า 2,500 องค์กร โดยการโจมตีครั้งนี้ช่วยให้ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ ซอฟต์แวร์จัดการไฟล์ของ MOVEit เพื่อเข้าถึงข้อมูลขององค์กร และใช้ไฟล์ที่ถูกโจมตีเพื่อเรียกค่าไถ่จากเหยื่อ
การโจมตี Zero-Day ของ SysAid ผู้ไม่ประสงค์ดีใช้ Meshagent Remote Administration Tool
เพื่อควบคุมจากระยะไกลบนระบบของเป้าหมาย และ malware ที่ชื่อ GraceWire ถูกสร้างขึ้นเพื่อทำลายระบบดักจับข้อมูล หรือลบข้อมูลได้ และผู้ไม่ประสงค์ดียังใช้สคริปต์ PowerShell เพื่อปกปิดร่องรอยการโจมตีโดยการลบหลักฐานการโจมตีจากเซิร์ฟเวอร์ที่ตกเป็นเป้าหมาย
คำแนะนำ
- ควรอัปเดตระบบซอฟต์แวร์ป้องกันไวรัสและระบบปฏิบัติการให้เป็นปัจจุบันอยู่เสมอ
- ควรสำรองข้อมูลที่สำคัญบน Cloud หรือ External Hardisk อย่างสม่ำเสมอ
- ควรจำกัดสิทธิ์การเข้าถึงข้อมูลให้กับผู้ที่มีความจำเป็นเท่านั้น
- ควรให้ความรู้พนักงานในองค์กรสำหรับการเตรียมรับมือกับการโจมตี Zero-Day
Ref: https://www.securityweek.com/sysaid-zero-day-vulnerability-exploited-by-ransomware-group/?web_view=true