Cl0p fidye yazılımı grubunun, Progress Software’in MOVEit Transfer dosya aktarım uygulamasında keşfettiği sıfır günlük bir güvenlik açığını, bu ayın başlarında yıkıcı bir etkiyle istismar etmeye başlamadan önce yaklaşık iki yıl boyunca üzerinde oturduğu ortaya çıktı.
Bu tutma süresi boyunca, grubun üyeleri, kuruluşlara erişimlerini test etmek ve hedeflenecekleri belirlemek için savunmasız sistemlere karşı düzenli aralıklarla kötü niyetli faaliyet dalgaları başlattı.
Kroll’s Cyber Risk Business’ın genel müdür yardımcısı Scott Downie, “Kullandığım benzetme, kapı tokmağını çevirmek, döndüğünü görmek ve daha sonra geri gelebileceğimi bilerek uzaklaşmak, kapıyı açıp içinden geçmek,” diyor. “Potansiyel hedefleri belirlemeleri olarak da yorumlanabilir” diyor.
Yaklaşık 2 Yıldır Bir MOVEit İstismarı İle Denemeler
Son saldırıları araştıran Kroll Threat Intelligence araştırmacıları, Cl0P aktörlerinin Temmuz 2021’e kadar MOVEit Transfer güvenlik açığından yararlanmanın yollarını denediğini gösteren kanıtlar buldular. Kroll’un Microsoft Internet Information Services (IIS) günlüklerine ilişkin incelemesi saldırılardan etkilenen müşterilere ait, Nisan 2022’de ve saldırılardan sadece birkaç gün önce geçen ay iki kez benzer faaliyetler yürüten tehdit aktörlerinin kanıtlarını ortaya çıkardı.
Telemetri, tehdit aktörlerinin savunmasız MOVEit Transfer istemcilerine erişimi test ettiğini ve kurulu olduğu kuruluşları belirlemelerine yardımcı olabilecek bilgileri almaya çalıştıklarını gösteriyor. Temmuz 2021’deki ilk aşamalardaki kötü amaçlı keşif ve test faaliyetlerinin çoğu, doğası gereği manuel olarak yapılmış gibi görünüyor. Ancak Nisan 2022’den itibaren Cl0p aktörleri, aynı anda birden fazla kuruluşu araştırmak ve onlardan bilgi toplamak için otomatik bir mekanizma kullanmaya başladı.
Test faaliyetinin sonuncusu – toplu kullanım başlamadan önce – Mayıs ayındaydı ve her MOVEit Transfer kullanıcısıyla ilişkili benzersiz “Kuruluş Kimliği” tanımlayıcısını çıkarmak için tasarlanmış gibi görünüyordu. Kroll, bilgilerin saldırganların erişebilecekleri kuruluşları sınıflandırmasına yardımcı olabileceğini söyledi. Downie, şirketin kötü amaçlı etkinlikle ilişkili IP adreslerine ilişkin analizinin, bunların Rusya ve Hollanda’da bulunduğunu gösterdiğini söylüyor.
Downie, “CVE-2023-34362, çok aşamalı bir kullanım sürecidir” diyor. “Bu aktivite, CVE-2023-34362’nin ilk aşaması ile uyumludur.”
CVE-2023-34362: Neden Sıfır Gün Tetikleyicisini Çekmiyorsunuz?
Kroll, Cl0P aktörlerinin Temmuz 2021’de MOVEit güvenlik açığı için çalışan bir istismara sahip olduklarına büyük bir güvenle karar verdi. Kroll’da Siber Risk İşi.
2021’de aynı tehdit aktörü, keşfettiği başka bir sıfır gün dosya aktarımından bu kez Accellion’ın Dosya Aktarım Aracında yararlandı. 2021’in geri kalanında ve 2022’nin başlarında Cl0p, Accelion FTA ihlaliyle bağlantılı olarak çok aktifti. Yani, muhtemelen elleri zaten doluydu.
Iacono, tehdit aktörü sitesinin 2022’nin büyük bölümünde oldukça etkin olmadığını ve hatta muhtemelen 2021’de Cl0p üyelerinin tutuklanmasıyla ilgili olarak faaliyetleri bir süreliğine haraçtan uzaklaştırmış olabileceğini söylüyor. 2022’nin başlarından ortalarına kadar genel fidye yazılımı etkinliğini yavaşlatan Ukrayna/Rusya çatışmasının da bir faktör olabileceğini söylüyor.
“Cl0p başlangıçta FIN11 olarak sınıflandırıldı [and was] POS kötü amaçlı yazılım saldırıları vb. Ancak gruplarının yalnızca fidye yazılımı gaspı değil, yararlandığı çeşitli siber suç hizmetleri portföyüne sahip olmasının nedeni budur.”
MOVEit Saldırıları Hakkında Bildiklerimiz
Arka plan olarak, MOVEit Transfer’deki bir SQL enjeksiyon güvenlik açığını hedef alan saldırı etkinliğine ilişkin satıcı raporları 1 Haziran’da gün yüzüne çıkmaya başladı. Mandiant’taki araştırmacılar ve saldırıları araştıran diğer satıcılar, tehdit aktörünün açıktan yararlanarak Progress Software’in uygulamasının müşterilerinden veri çalmaya çalıştığını tespit etti. . Bazıları – haklı olarak – saldırıların ve veri hırsızlığının fidye taleplerinin habercisi olduğunu düşündü.
4 Haziran’da Microsoft, saldırıların kurbanı olan kuruluşların ilk raporları gelmeye başladığında saldırıları (şirketin “Lace Tempest” olarak izlediği ve TA505 tehdit grubuyla ilişkili olduğu bilinen) Cl0P fidye yazılımı grubuna bağladı. Şu ana kadar listede BBC, British Airways ve Nova Scotia hükümeti. Cl0p’nin kendisi yüzlerce kurban talep etti. 7 Haziran’da ABD Siber Güvenlik ve Bilgi Güvenliği Ajansı potansiyel olarak yaygın etki konusunda uyardı: “TA505’in bu güvenlik açığından yararlanma hızı ve kolaylığı nedeniyle ve geçmiş kampanyalarına dayanarak FBI ve CISA, yamasız yazılım hizmetlerinin hem özel hem de genel ağlarda yaygın olarak kullanıldığını görmeyi bekliyor.”
MOVEit, Disney, Chase, GEICO gibi devler ve ABD federal kurumları da dahil olmak üzere binlerce kuruluşun hassas verileri ve büyük dosyaları aktarmak için kullandığı, yönetilen bir dosya aktarım uygulamasıdır. Bu tür uygulamalar, kuruluşların bir fidye yazılımı saldırısında sızdırılmasını veya kilitlenmesini önlemek için muhtemelen ödemeye istekli olduğu türden verilere erişim sağladıkları için saldırganlar için popüler bir hedef haline geldi.
Bu grup için dosya aktarımı saldırıları revaçta: MOVEit ve Accelion’a ek olarak, Cl0p tehdit aktörleri Şubat ayında Fortra’nın GoAnywhere MFT’sindeki bir sıfır gün açığından yararlanarak yönetilen dosya aktarım ürününün müşterilerini gasp etti.