警惕！SysAid IT 曝出零日漏洞，需尽快安装补丁

根据微软的警惕最新发现 
，以传播 Clop 勒索软件而闻名的曝出 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的需尽零日漏洞实施过其他攻击 。

此次的香港云服务器快安漏洞被追踪为 CVE-2023-47246，涉及一个路径遍历漏洞，装补可能导致黑客在内部安装中执行恶意代码
。警惕不过SysAid 已在 23.3.36 版软件中修补了这个漏洞 。曝出

微软方面表示 ：Lace Tempest 黑客组织在利用了该漏洞后 ，零日漏洞会通过 SysAid 软件发出命令，需尽从而为 Gracewire 恶意软件提供恶意软件加载器
。快安然后通过人为操作的建站模板装补恶意活动 ，比如横向移动、警惕数据窃取和勒索软件部署等等达到进一步的曝出攻击目的 。

据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的零日漏洞 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中。源码下载而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外
，还用于发送 PowerShell 脚本 ，这个脚本主要是为了执行加载器，再反过来加载 Gracewire
。同时 ，攻击者还部署了第二个 PowerShell 脚本
 ，服务器租用用于在部署恶意有效载荷后清除利用证据。

而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike
，这是一个合法的后剥削框架。

所以为了更大程度的源码库降低勒索软件攻击的伤害，使用 SysAid 的企业最好尽快安装补丁 。同时要注意在打补丁之前扫描环境，看看是否有被利用的迹象 。云计算