MOVEit sıfır gün istismarının bilinen ilk kurbanlarının isimleri 4 Haziran’da ortaya çıkmaya başladığında, Microsoft kampanyayı “Lace Tempest” adını verdiği Cl0p fidye yazılımı ekibine bağladı. Bu, çetenin çeşitli dosya aktarım hizmetlerine karşı gerçekleştirdiği çok benzer siber saldırıların en sonuncusu.
1 Haziran’dan beri, Progress Software sıfır gün güvenlik açığı duyurdu MOVEit dosya aktarım programında, araştırmacılar ve potansiyel olarak etkilenen kuruluşlar parçaları toplamaya çalışıyor. Mandiant’tan Analiz tehdit istihbaratı şirketi Greynoise, bilgisayar korsanlarının sıfır günü istismar etmeye 27 Mayıs Cumartesi günü erken bir tarihte başladıklarını öne sürdü. gözlemlendiği bildirildi “3 Mart 2023 gibi erken bir tarihte /human.aspx adresinde bulunan MOVEit Transfer giriş sayfası için tarama etkinliği.”
Sadece son 24 saat içinde bu kampanyanın bazı önemli kurbanları gün ışığına çıkmaya başladı. Nova Scotia hükümeti şu anda ölçmeye çalışıyor vatandaşlarının verilerinin ne kadarı çalındı ve Birleşik Krallık bordro şirketi Zellis’teki bir ihlal, Boots da dahil olmak üzere bazı yüksek profilli müşterileri için aşağı akış tavizlerine neden oldu. BBCVe ingiliz Havayolları.
İlişkilendirme söz konusu olduğunda, 2 Haziran itibarıyla Mandiant, faillere, fidye yazılımı ve gasp kampanyaları ve bir Clop üyesi statüsü ile tanınan FIN11 siber suç çetesiyle potansiyel bağlantıları olan potansiyel olarak yeni bir grup olarak davranıyordu. A Pazar akşamı yayınlanan tweet Microsoft tarafından daha kesin bir sonuç sunuldu:
“Microsoft, CVE-2023-34362 Fidye yazılımı operasyonları ve Clop şantaj sitesini çalıştırmasıyla tanınan Lace Tempest’e yönelik MOVEit Transfer 0 günlük güvenlik açığı. Tehdit aktörü, geçmişte veri çalmak ve kurbanları gasp etmek için benzer güvenlik açıklarını kullanmıştı.”
Microsoft, Dark Reading’e “Bu tehdit aktörü, yıllardır takip ettiğimiz bir kişi” dedi. “Yıllar boyunca önemli sayıda tehditten sorumlu olan iyi bilinen bir gruptur. Lace Tempest (FIN11, TA505 ile örtüşür) fidye yazılımı ve ortaya çıkan haraç ortamında baskın bir güçtür.”
Etkilenen Kuruluşlar CVE-2023-34362’ye Nasıl Yanıt Vermelidir?
Huntress’in kıdemli güvenlik araştırmacısı John Hammond için geçen haftaki güvenlik açığını izleme, Microsoft’un atıfı kurbanlar için büyük endişelere yol açıyor. “Bundan sonra ne olacağını bilmiyorum. Henüz herhangi bir fidye yazılımı talebi, gasp veya şantaj görmedik. Beklemede mi oturuyoruz yoksa bundan sonra ne olacak bilmiyorum” diye merak ediyor.
2 Haziran’da Progress Software yayınlandı CVE-2023-34362 için bir yama. Ancak, saldırganların bunu 3 Mart’ta değilse bile 27 Mayıs’ta zaten istismar ettiğini gösteren kanıtlarla, mevcut müşterilerin güvenli kabul edilmesi için yalnızca yama uygulamak yeterli değildir.
Her şeyden önce, zaten çalınmış olan herhangi bir veri sonraki saldırılarda kullanılabilir ve kullanılabilir. Microsoft’un işaret ettiği gibi, “Lace Tempest’in iki tür kurbanı olmuştur. İlki, bir Web kabuğunun düştüğü (ve keşif yapmak için potansiyel olarak etkileşimde bulunulan) kötüye kullanılan bir sunucuya sahip kurbanlardır. İkinci tür, Lace Tempest’in çaldığı kurbanlardır. veri.” Bir sonraki hamlelerinin veri hırsızlığına maruz kalmış kurbanları gasp etmek olacağını tahmin ediyoruz.”
Minimum olarak, Hammond müşterilere yalnızca yama yapmamalarını, aynı zamanda “o günlükleri gözden geçirmelerini, orada hangi eserlerin olduğunu görmelerini, diğer kancaları ve pençeleri kaldırıp kaldıramayacağınıza bakmalarını” tavsiye ediyor. Yama yapsanız bile, gidin ve Web kabuğunun kaldırıldı ve silindi. Burada gereken özen gösterilmesi gerekiyor.”
Siber Ateş Altında Dosya Aktarım Hizmetleri
Hiçbir MOVEit temizleme işlemi, son zamanlarda ortalıkta dolaşıyor gibi görünen daha derin ve altta yatan bir sorunu çözemez: Bilgisayar korsanı gruplarının dosya aktarım hizmetlerini finansal siber suçlar için bir altın madeni olarak tanımladığı açıktır.
Sadece birkaç ay önce, siber suçlular IBM’in Aspera Faspex ürününü kuşattı. Bundan bir ay önce Cl0p, Fortra’nın GoAnywhere hizmetine karşı geçen haftaki çabaya çarpıcı bir benzerlik gösteren bir kampanya yürüttü. Cl0p’nin dosya aktarım ihlallerine ilk girişi bile değildi – yıllar önce aynısını Accelion’a da yaptılar.
Hassas verileri bu hizmetlerle trafiğe çıkaran şirketlerin, giderek yaygınlaşan bir soruna daha uzun vadeli bir çözüm bulması gerekecek. Bununla birlikte, bu uzun vadeli çözümün tam olarak ne olacağı belirsizdir.
Hammond, “saldırı yüzeyinizi sınırlamaya çalışın. İhtiyacımız olmayan yazılımları veya daha iyi, daha modern bir şekilde ele alınabilecek uygulamaları azaltmak için elimizden gelen her şeyi yapın. Bunlar, bence, belki de en iyi sözler. şu anda tavsiye dışında: yama.”
