内容摘要：根据微软的最新发现，以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织，近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transf

根据微软的警惕最新发现，以传播 Clop 勒索软件而闻名的曝出 Lace Tempest 黑客组织 ，近日利用 SysAid IT 支持软件的零日漏洞零日漏洞实施了攻击 。该黑客组织曾经还利用 MOVEit Transfer 和 PaperCut 服务器中的需尽零日漏洞实施过其他攻击 。

此次的亿华云快安漏洞被追踪为 CVE-2023-47246，涉及一个路径遍历漏洞，装补可能导致黑客在内部安装中执行恶意代码。警惕不过SysAid 已在 23.3.36 版软件中修补了这个漏洞 。曝出

微软方面表示
：Lace Tempest 黑客组织在利用了该漏洞后 ，零日漏洞会通过 SysAid 软件发出命令 ，需尽从而为 Gracewire 恶意软件提供恶意软件加载器。快安然后通过人为操作的高防服务器装补恶意活动，比如横向移动、警惕数据窃取和勒索软件部署等等达到进一步的曝出攻击目的 。

据 SysAid 称一经发现有黑客将包含网络外壳和其他有效载荷的零日漏洞 WAR 存档上传到了 SysAid Tomcat 网络服务的 webroot 中 。源码库而Web Shell 除了为威胁者提供后门访问被攻击主机的权限外 ，还用于发送 PowerShell 脚本，这个脚本主要是为了执行加载器，再反过来加载 Gracewire 。同时 ，攻击者还部署了第二个 PowerShell 脚本 ，香港云服务器用于在部署恶意有效载荷后清除利用证据 。

而攻击链的特点是使用 MeshCentral 代理和 PowerShell 下载并运行 Cobalt Strike，这是一个合法的后剥削框架。

所以为了更大程度的免费模板降低勒索软件攻击的伤害
，使用 SysAid 的企业最好尽快安装补丁。同时要注意在打补丁之前扫描环境
，看看是否有被利用的迹象。模板下载