CVE-2023-47246 検出: Lace Tempest ハッカーがSysAid ITソフトウェアのゼロデイ脆弱性を積極的に悪用

[post-views]
11月 13, 2023 · 6 分で読めます
CVE-2023-47246 検出: Lace Tempest ハッカーがSysAid ITソフトウェアのゼロデイ脆弱性を積極的に悪用

11月には、人気のあるソフトウェア製品におけるゼロデイの新しいセットがサイバー領域に出現しています。 CVE-2023-22518 Confluence データセンターおよびサーバーのすべてのバージョンに影響します。公開後すぐに、CVE-2023-47246 というトラッキングコードを持つ SysAid IT ソフトウェアの別のゼロデイ脆弱性が現れます。マイクロソフトは、以前には Clop ランサムウェアを配信していたことで知られる Lace Tempest グループが関与する攻撃で、脆弱性の悪用の痕跡を明らかにしました。

CVE-2023-47246 の悪用試行を検出する

Clop ランサムウェアのオペレーターが新しいゼロデイの SysAid IT 脆弱性を積極的に悪用している中で、先進的な組織は自らのインフラストラクチャを事前に防御するために奮闘しています。SOC Prime プラットフォームは、CVE-2023-47246 の悪用試みを検出するための新しいキュレートされた Sigma ルールをディフェンダーに提供します。リンクは以下にあります。

SysAid Tomcat フォルダで作成されたワーアーカイブファイル [CVE-2023-47246] (file_event 経由)

この検出アルゴリズムは、SysAid Tomcat ディレクトリ内に作成された WAR アーカイブを識別し、それが CVE-2023-47246 脆弱性の悪用の指標である可能性があります。この Sigma ルールは、MITRE ATT&CK の初期アクセス戦術と、主な技術 (T1190) の公開フェイシングアプリケーションの悪用を扱っています。この検出コードはまた、SIEM、EDR、XDR、およびデータレーク言語形式に即座に変換できます。

さらに、ディフェンダーは、 検出を探る ためのボタンをクリックすることで、CVE-2023-47246 の悪用試行に関連するコンテンツにアクセスできます。関連する Sigma ルールに即座にアクセスし、アクショナブルメタデータを活用し、攻撃者に最初に攻撃される隙を与えません。

検出を探る

CVE-2023-47246 の分析

Lace Tempest グループは、 Clop ランサムウェア を広めることで知られており、現在 SysAid の IT サポートおよび管理ソフトウェアで新しい重大なセキュリティバグを悪用しています。 マイクロソフトは最近、CVE-2023-47246 を発見しました。これは、Lace Tempest ハッカーに起因する一連の攻撃で武器化された新たなゼロデイ脆弱性です。この問題の発見後、マイクロソフトは直ちに SysAid に脆弱性を報告し、迅速なパッチを実現しました。

CVE-2023-47246 は、Tomcat ウェブルートにファイルを書くことで攻撃者が武器化できるパス トラバーサルの脆弱性であり、オンプレ SysAid インスタンスでのコード実行を引き起こす可能性があります。初期アクセスと user.exe マルウェアの展開に続いて、脅威アクターは PowerShell スクリプトを使用してオンプレ SysAid サーバーのディスクやログから活動の痕跡を消去します。調査中に、Lace Tempest が GraceWire ローダーを使用して感染をさらに広めたことも判明しました。さらに、攻撃の連鎖は、MeshCentral エージェント リモート管理ツールと PowerShell の両方を活用して、被害者デバイスに Cobalt Strike をダウンロードして実行することで特徴付けられています。

SysAid はソフトウェア v23.3.36 で問題を修正しましたが、このバージョン以前のインスタンスは悪用リスクにさらされています。

Lace Tempest ハッキング集団、別名 DEV-0950 は、重大セキュリティの脆弱性を武器化する攻撃にも関連しており、CVE-2023-34362 や MOVEit Transferのゼロデイに加え、 PaperCut サーバーでの RCE フローにも関係しています。Lace Tempest グループは、FIN11 として追跡される他のハッキング集団とも重複しており、 TA505とも関連しています。 とマイクロソフトは関連ツイートで報告します。 SysAid は、

CVE-2023-47246 の緩和措置を講じることを推奨しており、主にオンプレミスインスタンスを最新の 23.3.36 バージョンに更新し、関連する IOC に基づいた潜在的に影響を受けたサーバーの包括的な妥協評価を実施し、疑わしい動作の兆候を監視し続けることを推奨しています。
ランサムウェアの展開につながる攻撃が増加し続ける中で、組織は出現する脅威に適応し続け、リスクを最小限に抑える方法を模索しています。SOC Prime の脅威検出市場に依存し、常に変化する脅威の状況を把握し、 ランサムウェア検出のための900以上のキュレートされたSOCコンテンツ を活用して、CTI によって補強され、あなたの脅威プロファイルに合わせてカスタマイズされたコンテンツを入手してください。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
ブログ, 最新の脅威 — 10 分で読めます
CVE-2025-49144 脆弱性:Notepad++の重大な権限昇格の欠陥により、システム全体が乗っ取られる可能性
Veronika Telychko
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
ブログ, 最新の脅威 — 8 分で読めます
CVE-2025-6018およびCVE-2025-6019脆弱性の悪用:ローカル権限昇格の欠陥を連鎖させることで、攻撃者が大多数のLinuxディストリビューションでルートアクセスを得る
Veronika Telychko
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
ブログ, 最新の脅威 — 9 分で読めます
CVE-2025-4123 脆弱性:「Grafana のゴースト」ゼロデイ攻撃が悪意のあるアカウント乗っ取りを可能に
Veronika Telychko