根據微軟的最新發現，以傳播 Clop 勒索軟件而聞名的 Lace Tempest 黑客組織，近日利用 SysAid IT 支持軟件的零日漏洞實施了攻擊。該黑客組織曾經還利用 MOVEit Transfer 和 PaperCut 服務器中的零日漏洞實施過其他攻擊。

此次的漏洞被追蹤為 CVE-2023-47246，涉及一個路徑遍歷漏洞，可能導致黑客在內部安裝中執行惡意代碼。不過SysAid 已在 23.3.36 版軟件中修補了這個漏洞。

微軟方面表示：Lace Tempest 黑客組織在利用了該漏洞后，會通過 SysAid 軟件發出命令，從而為 Gracewire 惡意軟件提供惡意軟件加載器。然后通過人為操作的惡意活動，比如橫向移動、數據竊取和勒索軟件部署等等達到進一步的攻擊目的。

據 SysAid 稱一經發現有黑客將包含網絡外殼和其他有效載荷的 WAR 存檔上傳到了 SysAid Tomcat 網絡服務的 webroot 中。而Web Shell 除了為威脅者提供后門訪問被攻擊主機的權限外，還用于發送 PowerShell 腳本，這個腳本主要是為了執行加載器，再反過來加載 Gracewire。同時，攻擊者還部署了第二個 PowerShell 腳本，用于在部署惡意有效載荷后清除利用證據。

而攻擊鏈的特點是使用 MeshCentral 代理和 PowerShell 下載并運行 Cobalt Strike，這是一個合法的后剝削框架。

所以為了更大程度的降低勒索軟件攻擊的傷害，使用 SysAid 的企業最好盡快安裝補丁。同時要注意在打補丁之前掃描環境，看看是否有被利用的跡象。