Търсене
Close this search box.

Масово експлоатиране на грешка от типа Zero-Day в MOVEit File

Група за заплахи, която вероятно е свързана с финансово мотивираната група, известна като FIN11, и други известни банди, активно използва критична уязвимост от нулев ден в приложението MOVEit Transfer на Progress Software, за да краде данни от организации, които използват технологията за управляван трансфер на файлове.

MOVEit Transfer е приложение за управляван трансфер на файлове, което организациите използват за вътрешен и външен обмен на чувствителни данни и големи файлове. Организациите могат да разгърнат софтуера на място или като инфраструктура като услуга или като софтуер като услуга в облака. Progress твърди, че има хиляди клиенти на MOVEit, включително големи имена като Disney, Chase, BlueCross BlueShield, Geico и Major League Baseball.

Изследователите от групата за сигурност Mandiant на Google, които следят заплахата, смятат, че активността на експлойта може и да е предшественик на последващи атаки с цел получаване на откуп от организациите, които са станали жертва досега. Подобен модел се разигра по-рано тази година, след като нападател използва недостатък от нулев ден в софтуера за прехвърляне на файлове GoAnywhere на Forta, за да получи достъп до системите на клиентите и да открадне данни от тях.

Междувременно екипът на Microsoft Threat Intelligence съобщи днес чрез Twitter, че е приписал атаката на злосторник, когото нарича „Lace Tempest“, който е финансово мотивирана заплаха и филиал на ransomware, който има връзки не само с FIN11, но и с TA505, Evil Corp и бандата Cl0p.

Кражбата на данни се случва за минути

Първоначалното разследване на атаките на MOVit Transfer от страна на Mandiant показа, че дейността по експлоатирането е започнала на 27 май, или около четири дни преди Progress да разкрие уязвимостта и да издаде кръпки за всички засегнати версии на софтуера. До момента Mandiant е идентифицирала жертви в множество индустриални сектори, разположени в Канада, Индия и САЩ, но смята, че въздействието може да е много по-широко.

„След като използват уязвимостта, хакерите разполагат новооткрит LEMURLOOT уеб шел с имена на файлове, които се маскират като human.aspx, който е легитимен компонент на софтуера MOVEit Transfer“, заяви Mandiant в публикация в блога си от 2 юни.

Уеб обвивката позволява на нападателите да издават команди за изброяване на файлове и папки в система, в която е инсталиран софтуерът MOVEit Transfer, да извличат информация за конфигурацията и да създават или изтриват потребителски акаунт. Първоначалният анализ на Mandiant показа, че заплахата използва LEMURLOOT, за да открадне данни, които потребителите на MOVEit Transfer може да са качили преди това. „В някои случаи кражбата на данни е извършена в рамките на няколко минути след внедряването на уеб черупките“, заявиха от Mandiant. Освен това образците LEMURLOOT във VirusTotal от 28 май насам показват, че са засегнати и организации в няколко други държави, включително Германия, Италия и Пакистан.

Mandiant проследява изпълнителя като UNC4857 и го описва като неизвестна досега група с неизвестни мотиви. Но няколко артефакта от атаките на групата срещу клиенти на MOVEit Transfer предполагат връзка с FIN11, казва Mandiant. FIN11 е група, която изследователите по сигурността свързват с множество финансово мотивирани атаки срещу банки, кредитни съюзи, търговци на дребно и други организации поне от 2016 г. насам.

Дни и седмици активност на експлойта

Самата компания Progress посъветва клиентите си да прегледат своите среди за трансфер на MOVEit за подозрителна активност през последните 30 дни, което предполага, че дейността по експлойта може да е продължила поне толкова дълго. Компанията е идентифицирала уязвимостта (сега проследявана като CVE-2023-34362) като грешка при инжектиране на SQL, която засяга всички версии на нейния софтуер за прехвърляне на файлове. Недостатъкът позволява неавтентифициран достъп до базата данни на MOVEit Transfer, отбеляза компанията, като призова клиентите спешно да закърпят недостатъка. Консултацията на компанията включва последователност от стъпки за намаляване на риска, които тя препоръчва на организациите да предприемат, преди да внедрят кръпката.

Компанията Greynoise, която събира и анализира данни за интернет шумове, твърди, че е наблюдавала сканираща дейност, свързана с MOVEit, още от 3 март, и препоръча на клиентите да удължат прозореца за прегледа си до поне 90 дни.

Джон Хамънд, старши изследовател в областта на сигурността в Huntress, казва, че разследването на неговата компания на уязвимостта от нулевия ден в MOVEit Transfer показва, че тя може да бъде или недостатък при SQL инжектиране, както е посочено от Progress, или може да бъде уязвимост при неограничено качване на файлове – или и двете. „Все още не знаем какви са инструментите на противника“, казва Хамънд. Макар че Progress публично заяви, че става въпрос за уязвимост, свързана с инжектиране на SQL, пълните подробности за веригата на атаката и експлойта все още не са известни, казва той.

„Поведението, което виждаме, че за тази конкретна операция се използва human2.aspx, изглежда като качен файл, използван за по-нататъшно запазване и последваща експлоатация след SQL инжектиране“, казва Хамънд. „Уязвимостта SQL injection може да отвори вратата за тази функционалност чрез заобикаляне на удостоверяването или изтичане на чувствителна информация от базата данни. Но за съжаление все още не сме съвсем сигурни какво и как.“

Хиляди потенциално уязвими хостове

Междувременно Censys заяви, че нейната платформа за търсене и сканиране на интернет е идентифицирала 3803 хоста, които понастоящем използват услугата MOVEit. Много от тези случаи вероятно не са поправени и поради това са уязвими за атаки, заявиха от Censys. „Това, което е особено тревожно, е разнообразният спектър от индустрии, които разчитат на този софтуер, включително финансовия сектор, образованието (с 27 хоста) и дори федералното и щатското правителство на САЩ (с над 60 хоста)“, заяви Censys в публикация в блога си от 2 юни.
Атаката срещу MOVEit следва подобна дейност с експлойт нулев ден, която беше насочена към продукта GoAnywhere Managed File Transfer на Forta през януари. В този случай нападателите използваха нулев ден за отдалечено изпълнение на код (CVE-2023-0669) в GoAnywhere, за да създадат неоторизирани потребителски акаунти в някои клиентски системи и да използват тези акаунти за кражба на данни и инсталиране на допълнителен зловреден софтуер в средата.

Малко след разкриването на уязвимостта на Forta бандата за изнудване Cl0p заяви, че е използвала проблема в над 130 организации по света. Изследователите в областта на сигурността очакват технологиите за прехвърляне на файлове, като тези от MOVEit и GoAnywhere, да стават все по-популярни цели за участниците в ransomware, които искат да се насочат от атаки за криптиране на данни към кражба на данни.

Устройствата за прехвърляне на файлове и продуктите от Accellion до GoAnywhere се превърнаха в ценна мишена за киберпрестъпниците – казва Сатнам Наранг, старши щатен инженер-изследовател в Tenable. Това е особено вярно за банди за откупване като Cl0p, които са проникнали в стотици организации, разчитащи на управлявани услуги за прехвърляне на файлове за прехвърляне на чувствителни данни, отбелязва той.

„С течение на годините предприятията започнаха да разчитат на решения за прехвърляне на файлове, поради което има няколко различни варианта“, казва Наранг. „Компрометирайки решенията за прехвърляне на файлове, заплахите са в състояние да откраднат данни за десетки и стотици предприятия.“

Той добавя: „Като се насочват към отделни случаи на прехвърляне на файлове, противниците често имат възможност да получат достъп до много чувствителна информация. Това се оказва ценно за заплахите, особено за групите, предлагащи откуп, които заплашват с изтичане на откраднатите данни в тъмната мрежа.“

Източник: DARKReading

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
24/02/2024

Ефективното реагиране при и...

Според изследователски доклад на Dark Reading...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!