Аналитики Microsoft сообщили, что волна атак на 0-day уязвимость в MOVEit Transfer (CVE-2023-34362) связана с активностью вымогательской группировки Clop.

Напомню, что об уязвимости в этом решении для управления передачей файлов стало известно в конце прошлой недели. Проблеме оказались подвержены все версии MOVEit Transfer, а атаки начались еще 27 мая 2023 года.

Как сообщали эксперты из компаний Huntress, Rapid7, TrustedSec, GreyNoise и Volexity, баг представляет собой SQL-инъекцию, которая приводит к удаленному выполнению кода. Так, эксплуатация уязвимости может привести к повышению привилегий и дает третьим лицам несанкционированный доступ к среде MOVEit Transfer.

Злоумышленники использовали уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволяло им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.

Как теперь пишут аналитики Microsoft, за этими атаками стоит хак-группа Clop, которую в компании называют Lace Tempest (TA505, FIN11 или DEV-0950).

Как отмечают журналисты издания Bleeping Computer, со ссылкой на собственные источники, пока Clop еще не начала вымогать деньги у жертв. Однако известно, что обычно группировка выжидает несколько недель после кражи данных, и лишь потом отправляет руководству пострадавшей компании письмо с требованием выкупа.

Также журналисты напоминают, что в начале текущего года Clop массово атаковала компании, используя 0-day уязвимость в другом инструменте для передачи файлов, GoAnywhere MFT, а еще раньше хакеры точно так же эксплуатировали проблему в Accellion FTA.

Как правило, Clop начинает вымогать деньги у жертв, предварительно добавив список пострадавших на свой «сайт для утечек», угрожая, что украденные у компаний файлы будут опубликованы в открытом доступе, если хакеры не получат выкуп. В случае с атаками через GoAnywhere MFT, злоумышленникам понадобилось чуть больше месяца, прежде список жертв появился на их сайте.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии