Аналитики Microsoft сообщили, что волна атак на 0-day уязвимость в MOVEit Transfer (CVE-2023-34362) связана с активностью вымогательской группировки Clop.
Напомню, что об уязвимости в этом решении для управления передачей файлов стало известно в конце прошлой недели. Проблеме оказались подвержены все версии MOVEit Transfer, а атаки начались еще 27 мая 2023 года.
Как сообщали эксперты из компаний Huntress, Rapid7, TrustedSec, GreyNoise и Volexity, баг представляет собой SQL-инъекцию, которая приводит к удаленному выполнению кода. Так, эксплуатация уязвимости может привести к повышению привилегий и дает третьим лицам несанкционированный доступ к среде MOVEit Transfer.
Злоумышленники использовали уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволяло им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
Как теперь пишут аналитики Microsoft, за этими атаками стоит хак-группа Clop, которую в компании называют Lace Tempest (TA505, FIN11 или DEV-0950).
Как отмечают журналисты издания Bleeping Computer, со ссылкой на собственные источники, пока Clop еще не начала вымогать деньги у жертв. Однако известно, что обычно группировка выжидает несколько недель после кражи данных, и лишь потом отправляет руководству пострадавшей компании письмо с требованием выкупа.
Также журналисты напоминают, что в начале текущего года Clop массово атаковала компании, используя 0-day уязвимость в другом инструменте для передачи файлов, GoAnywhere MFT, а еще раньше хакеры точно так же эксплуатировали проблему в Accellion FTA.
Как правило, Clop начинает вымогать деньги у жертв, предварительно добавив список пострадавших на свой «сайт для утечек», угрожая, что украденные у компаний файлы будут опубликованы в открытом доступе, если хакеры не получат выкуп. В случае с атаками через GoAnywhere MFT, злоумышленникам понадобилось чуть больше месяца, прежде список жертв появился на их сайте.