Група за заплахи, която вероятно е свързана с финансово мотивираната група, известна като FIN11, и други известни банди, активно използва критична уязвимост от нулев ден в приложението MOVEit Transfer на Progress Software, за да краде данни от организации, които използват технологията за управляван трансфер на файлове.

MOVEit Transfer е приложение за управляван трансфер на файлове, което организациите използват за вътрешен и външен обмен на чувствителни данни и големи файлове. Организациите могат да разгърнат софтуера на място или като инфраструктура като услуга или като софтуер като услуга в облака. Progress твърди, че има хиляди клиенти на MOVEit, включително големи имена като Disney, Chase, BlueCross BlueShield, Geico и Major League Baseball.

Изследователите от групата за сигурност Mandiant на Google, които следят заплахата, смятат, че активността на експлойта може и да е предшественик на последващи атаки с цел получаване на откуп от организациите, които са станали жертва досега. Подобен модел се разигра по-рано тази година, след като нападател използва недостатък от нулев ден в софтуера за прехвърляне на файлове GoAnywhere на Forta, за да получи достъп до системите на клиентите и да открадне данни от тях.

Междувременно екипът на Microsoft Threat Intelligence съобщи днес чрез Twitter, че е приписал атаката на злосторник, когото нарича „Lace Tempest“, който е финансово мотивирана заплаха и филиал на ransomware, който има връзки не само с FIN11, но и с TA505, Evil Corp и бандата Cl0p.

Кражбата на данни се случва за минути

Първоначалното разследване на атаките на MOVit Transfer от страна на Mandiant показа, че дейността по експлоатирането е започнала на 27 май, или около четири дни преди Progress да разкрие уязвимостта и да издаде кръпки за всички засегнати версии на софтуера. До момента Mandiant е идентифицирала жертви в множество индустриални сектори, разположени в Канада, Индия и САЩ, но смята, че въздействието може да е много по-широко.

„След като използват уязвимостта, хакерите разполагат новооткрит LEMURLOOT уеб шел с имена на файлове, които се маскират като human.aspx, който е легитимен компонент на софтуера MOVEit Transfer“, заяви Mandiant в публикация в блога си от 2 юни.

Уеб обвивката позволява на нападателите да издават команди за изброяване на файлове и папки в система, в която е инсталиран софтуерът MOVEit Transfer, да извличат информация за конфигурацията и да създават или изтриват потребителски акаунт. Първоначалният анализ на Mandiant показа, че заплахата използва LEMURLOOT, за да открадне данни, които потребителите на MOVEit Transfer може да са качили преди това. „В някои случаи кражбата на данни е извършена в рамките на няколко минути след внедряването на уеб черупките“, заявиха от Mandiant. Освен това образците LEMURLOOT във VirusTotal от 28 май насам показват, че са засегнати и организации в няколко други държави, включително Германия, Италия и Пакистан.

Mandiant проследява изпълнителя като UNC4857 и го описва като неизвестна досега група с неизвестни мотиви. Но няколко артефакта от атаките на групата срещу клиенти на MOVEit Transfer предполагат връзка с FIN11, казва Mandiant. FIN11 е група, която изследователите по сигурността свързват с множество финансово мотивирани атаки срещу банки, кредитни съюзи, търговци на дребно и други организации поне от 2016 г. насам.

Дни и седмици активност на експлойта

Самата компания Progress посъветва клиентите си да прегледат своите среди за трансфер на MOVEit за подозрителна активност през последните 30 дни, което предполага, че дейността по експлойта може да е продължила поне толкова дълго. Компанията е идентифицирала уязвимостта (сега проследявана като CVE-2023-34362) като грешка при инжектиране на SQL, която засяга всички версии на нейния софтуер за прехвърляне на файлове. Недостатъкът позволява неавтентифициран достъп до базата данни на MOVEit Transfer, отбеляза компанията, като призова клиентите спешно да закърпят недостатъка. Консултацията на компанията включва последователност от стъпки за намаляване на риска, които тя препоръчва на организациите да предприемат, преди да внедрят кръпката.

Компанията Greynoise, която събира и анализира данни за интернет шумове, твърди, че е наблюдавала сканираща дейност, свързана с MOVEit, още от 3 март, и препоръча на клиентите да удължат прозореца за прегледа си до поне 90 дни.

Джон Хамънд, старши изследовател в областта на сигурността в Huntress, казва, че разследването на неговата компания на уязвимостта от нулевия ден в MOVEit Transfer показва, че тя може да бъде или недостатък при SQL инжектиране, както е посочено от Progress, или може да бъде уязвимост при неограничено качване на файлове – или и двете. „Все още не знаем какви са инструментите на противника“, казва Хамънд. Макар че Progress публично заяви, че става въпрос за уязвимост, свързана с инжектиране на SQL, пълните подробности за веригата на атаката и експлойта все още не са известни, казва той.

„Поведението, което виждаме, че за тази конкретна операция се използва human2.aspx, изглежда като качен файл, използван за по-нататъшно запазване и последваща експлоатация след SQL инжектиране“, казва Хамънд. „Уязвимостта SQL injection може да отвори вратата за тази функционалност чрез заобикаляне на удостоверяването или изтичане на чувствителна информация от базата данни. Но за съжаление все още не сме съвсем сигурни какво и как.“

Хиляди потенциално уязвими хостове

Междувременно Censys заяви, че нейната платформа за търсене и сканиране на интернет е идентифицирала 3803 хоста, които понастоящем използват услугата MOVEit. Много от тези случаи вероятно не са поправени и поради това са уязвими за атаки, заявиха от Censys. „Това, което е особено тревожно, е разнообразният спектър от индустрии, които разчитат на този софтуер, включително финансовия сектор, образованието (с 27 хоста) и дори федералното и щатското правителство на САЩ (с над 60 хоста)“, заяви Censys в публикация в блога си от 2 юни.
Атаката срещу MOVEit следва подобна дейност с експлойт нулев ден, която беше насочена към продукта GoAnywhere Managed File Transfer на Forta през януари. В този случай нападателите използваха нулев ден за отдалечено изпълнение на код (CVE-2023-0669) в GoAnywhere, за да създадат неоторизирани потребителски акаунти в някои клиентски системи и да използват тези акаунти за кражба на данни и инсталиране на допълнителен зловреден софтуер в средата.

Малко след разкриването на уязвимостта на Forta бандата за изнудване Cl0p заяви, че е използвала проблема в над 130 организации по света. Изследователите в областта на сигурността очакват технологиите за прехвърляне на файлове, като тези от MOVEit и GoAnywhere, да стават все по-популярни цели за участниците в ransomware, които искат да се насочат от атаки за криптиране на данни към кражба на данни.

Устройствата за прехвърляне на файлове и продуктите от Accellion до GoAnywhere се превърнаха в ценна мишена за киберпрестъпниците – казва Сатнам Наранг, старши щатен инженер-изследовател в Tenable. Това е особено вярно за банди за откупване като Cl0p, които са проникнали в стотици организации, разчитащи на управлявани услуги за прехвърляне на файлове за прехвърляне на чувствителни данни, отбелязва той.

„С течение на годините предприятията започнаха да разчитат на решения за прехвърляне на файлове, поради което има няколко различни варианта“, казва Наранг. „Компрометирайки решенията за прехвърляне на файлове, заплахите са в състояние да откраднат данни за десетки и стотици предприятия.“

Той добавя: „Като се насочват към отделни случаи на прехвърляне на файлове, противниците често имат възможност да получат достъп до много чувствителна информация. Това се оказва ценно за заплахите, особено за групите, предлагащи откуп, които заплашват с изтичане на откраднатите данни в тъмната мрежа.“