מסתבר שקבוצת תוכנות הכופר Cl0p ישבה על פגיעות של יום אפס שגילתה באפליקציית העברת הקבצים MOVEit של Progress Software במשך כמעט שנתיים לפני שהחלה לנצל אותה - מה שהיא עשתה עם השפעה הרסנית בתחילת החודש.
במהלך תקופת ההחזקה, חברי הקבוצה השיקו מעת לעת גלים של פעילות זדונית נגד מערכות פגיעות כדי לבחון את הגישה שלהם לארגונים ולזהות את אלו שאליהם יש למקד.
"האנלוגיה שבה השתמשתי היא לסובב את ידית הדלת, לראות אותה מסתובבת, ואז להתרחק בידיעה שאוכל לחזור מאוחר יותר, לפתוח את הדלת ולעבור דרכה", אומר סקוט דאוני, מנהל שותף ב-Kroll's Cyber Risk Business. "ניתן לפרש את זה גם בכך שהם מזהים מטרות פוטנציאליות", הוא אומר.
ניסוי עם ניצול MOVEit במשך כמעט שנתיים
חוקרים ב-Kroll Threat Intelligence, שחקרו את ההתקפות האחרונות, מצאו ראיות המראות שחקני Cl0P מתנסים בדרכים לנצל את הפגיעות של MOVEit Transfer עוד ביולי 2021. סקירתו של קרול על יומני Microsoft Internet Information Services (IIS). השייכים ללקוחות שהושפעו מהתקיפות חשפו ראיות לגורמי האיום שביצעו פעילות דומה באפריל 2022 ופעמיים בחודש שעבר, ימים ספורים לפני הפיגועים.
הטלמטריה מציעה ששחקני האיום בחנו גישה ללקוחות פגיעים של MOVEit Transfer וניסו לאחזר מידע שיכול לעזור להם לזהות את הארגונים שבהם הוא הותקן. נראה שחלק ניכר מפעילות הסיור והבדיקות הזדוניות בשלבים המוקדמים - ביולי 2021 - היו ידניים באופיים. אבל החל מאפריל 2022, שחקני Cl0p החלו להשתמש במנגנון אוטומטי לבדיקה במספר ארגונים בו זמנית ולאיסוף מידע מהם.
פעילות הבדיקה האחרונה - לפני שהחל ניצול המוני - הייתה במאי ונראתה שנועדה לחלץ את המזהה הייחודי "Org ID" המשויך לכל משתמש MOVEit Transfer. המידע יכול היה לעזור לתוקפים לסווג את הארגונים שהם יכולים לגשת אליהם, אמר קרול. ניתוח של החברה של כתובות ה-IP הקשורות לפעילות הזדונית הראה שהן ממוקמות ברוסיה ובהולנד, אומר דאוני.
"CVE-2023-34362 הוא תהליך רב-שלבי של ניצול" מציין דאוני. "פעילות זו עולה בקנה אחד עם השלב הראשון של CVE-2023-34362."
CVE-2023-34362: למה לא ללחוץ על ההדק של אפס יום?
קרול סיכם עם רמה גבוהה של ביטחון שלשחקני Cl0P היה ניצול עובד עבור הפגיעות של MOVEit עוד ביולי 2021. אבל הקבוצה כנראה בחרה לשבת על זה במשך שנתיים מכמה סיבות, מתארת לורי איאקונו, מנכ"לית שותפה. עסקי סייבר ב-Kroll.
בשנת 2021, אותו שחקן איום ניצל עוד יום אפס להעברת קבצים שגילה, הפעם ב מכשיר העברת הקבצים של Accellion. במשך שאר 2021 ותחילת 2022, Cl0p היה פעיל מאוד בקשר עם הפרת ה-FTA של Accelion. אז כנראה שהידיים כבר היו מלאות.
אתר שחקני האיום היה אז לא פעיל למדי במהלך רוב שנת 2022 וייתכן שאפילו הסיט את הפעילויות הרחק מסחיטה לתקופה, אולי ביחס ל מעצרים של חברי Cl0p בשנת 2021, אומר איאקונו. סכסוך אוקראינה/רוסיה שהאט את פעילות תוכנת הכופר הכוללת בתחילת עד אמצע 2022, עשוי להיות גם גורם, היא אומרת.
"Cl0p סווג במקור כ-FIN11 [והיה] ידוע בהתקפות תוכנות זדוניות POS וכו'", אומר Iacono. "הם נכנסו למשחק תוכנת הכופר במהלך 'הבום' של 2020/2021. אבל ברור שהקבוצה שלהם מחזיקה בפורטפוליו מגוון של שירותי פשיעה סייבר שהיא ממנפת, לא רק סחיטת תוכנות כופר".
מה אנחנו יודעים על התקפות MOVEit
על רקע, דיווחי ספקים על פעילות תקיפה המכוונת לפגיעות של הזרקת SQL ב-MOVEit Transfer החלו להופיע ב-1 ביוני. חוקרים ב-Mandiant וספקים אחרים אשר חקר את הפיגועים מצא את שחקן האיום מנצל את הפגם כדי לגנוב נתונים מלקוחות האפליקציה של Progress Software. חלקם שיערו - נכון - שההתקפות וגניבת הנתונים היו מבשר לדרישות כופר.
ב-4 ביוני, Microsoft ייחס את הפיגועים לקבוצת תוכנות הכופר Cl0P (שהחברה עוקבת אחריה כ-"Lace Tempest", ואשר ידועה כקשורה לקבוצת האיומים TA505) כאשר הדיווחים הראשונים על ארגונים שנפגעו מהתקיפות החלו להתגלגל. עד כה, הרשימה כללה את BBC, British Airways וה- ממשלת נובה סקוטיה. Cl0p עצמה גבתה מאות קורבנות. הסוכנות האמריקאית לאבטחת סייבר ואבטחת מידע ב-7 ביוני הזהיר מפני השפעה פוטנציאלית רחבה: "בשל המהירות והקלות שבה TA505 ניצל את הפגיעות הזו, ובהתבסס על מסעות הפרסום שלהם בעבר, ה-FBI וה-CISA מצפים לראות ניצול נרחב של שירותי תוכנה לא מתוקנים ברשתות פרטיות וציבוריות כאחד."
MOVEit היא אפליקציית העברת קבצים מנוהלת שבה משתמשים אלפי ארגונים, כולל ענקים כמו דיסני, צ'ייס, GEICO וסוכנויות פדרליות בארה"ב כדי להעביר נתונים רגישים וקבצים גדולים. אפליקציות כאלה הפכו למטרה פופולרית עבור תוקפים בגלל הגישה שהם מספקים לסוג הנתונים שסביר להניח שארגונים מוכנים לשלם עבורם, כדי למנוע מהם להדלף או להינעל במתקפת כופר.
התקפות העברת קבצים חמות עבור הקבוצה הזו: בנוסף ל-MOVEit ו-Accelion, שחקני איומי Cl0p בפברואר ניצלו פגם של יום אפס ב- GoAnywhere MFT של Fortra לסחוט לקוחות של מוצר העברת קבצים מנוהל.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- EVM Finance. ממשק מאוחד למימון מבוזר. גישה כאן.
- Quantum Media Group. IR/PR מוגבר. גישה כאן.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/attacks-breaches/cl0p-gang-exploit-moveit-flaw-2-years
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 2021
- 2022
- 7
- a
- אודות
- גישה
- פעיל
- פעילויות
- פעילות
- שחקנים
- תוספת
- כתובות
- נגד
- סוכנויות
- סוכנות
- כיווני אוויר
- כְּבָר
- גם
- an
- אנליזה
- ו
- אחר
- האפליקציה
- נראה
- מופיע
- אפליקציות
- אַפּרִיל
- ARE
- AS
- עמית
- המשויך
- At
- לתקוף
- המתקפות
- מנסה
- אוטומטי
- רָחוֹק
- בחזרה
- רקע
- מבוסס
- BBC
- BE
- כי
- להיות
- היה
- לפני
- החל
- בום
- שניהם
- הפרה
- בריטי
- עסקים
- אבל
- by
- קמפיינים
- CAN
- מרדף
- בחר
- נתבע
- מְסוּוָג
- לקוחות
- איסוף
- איך
- חברה
- הגיע למסקנה
- מוליך
- אמון
- סכסוך
- הקשר
- עִקבִי
- יכול
- לקוחות
- סייבר
- פשעי אינטרנט
- אבטחת סייבר
- נתונים
- ימים
- תואר
- דרישות
- מעוצב
- הרסנית
- מְנַהֵל
- גילה
- דיסני
- מְגוּוָן
- תיק מגוון
- דֶלֶת
- מטה
- ראוי
- בְּמַהֲלָך
- כל אחד
- מוקדם יותר
- מוקדם
- להקל
- השפעה
- נכנס
- וכו '
- אֲפִילוּ
- עדות
- לצפות
- לנצל
- ניצול
- ומנוצל
- סחיטה
- תמצית
- גורם
- למדי
- רחוק
- FBI
- פדרלי
- מעטים
- שלח
- קבצים
- ראשון
- פגם
- בעד
- מצא
- החל מ-
- מלא
- מִשְׂחָק
- כְּנוּפִיָה
- מקבל
- Go
- קְבוּצָה
- היה
- ידיים
- יש
- he
- לעזור
- עזר
- גָבוֹהַ
- מחזיק
- חַם
- HTTPS
- מאות
- i
- ID
- מזהה
- זיהוי
- זהות
- Iis
- מושפעים
- in
- פעיל
- כלול
- כולל
- מידע
- אבטחת מידע
- מותקן
- מוֹדִיעִין
- אינטרנט
- IP
- כתובות IP
- IT
- שֶׁלָה
- עצמו
- jpg
- יולי
- יוני
- רק
- סוג
- לדעת
- יודע
- ידוע
- גָדוֹל
- אחרון
- מאוחר יותר
- הושק
- מנופים
- כמו
- סביר
- רשימה
- ממוקם
- נעול
- תוכנות זדוניות
- הצליח
- ניהול
- מנכ"ל
- מדריך ל
- מסה
- מאי..
- מנגנון
- להרשם/להתחבר
- מיקרוסופט
- בינוני
- חוֹדֶשׁ
- הרבה
- מספר
- טבע
- כמעט
- הולנד
- רשתות
- הערות
- of
- on
- יחידות
- לפתוח
- or
- ארגונים
- בְּמָקוֹר
- אחר
- הַחוּצָה
- מקיף
- עבר
- תשלום
- תקופה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פופולרי
- תיק עבודות
- PoS
- יִתָכֵן
- פוטנציאל
- פוטנציאל
- מבשר
- למנוע
- פְּרָטִי
- תהליך
- המוצר
- התקדמות
- לספק
- ציבורי
- כופר
- ransomware
- התקפת כופר
- טעם
- סיבות
- לאחרונה
- קָשׁוּר
- יחס
- דוחות לדוגמא
- חוקרים
- REST
- סקירה
- הסיכון
- גָלִיל
- רוסיה
- s
- אמר
- אותו
- אומר
- סקוט
- אבטחה
- לִרְאוֹת
- ראות
- רגיש
- שירותים
- היא
- הראה
- דומה
- לשבת
- אתר
- So
- עד כה
- תוכנה
- כמה
- מְהִירוּת
- התמחות
- שלבים
- עומד
- החל
- כזה
- מציע
- מערכות
- יעד
- מיקוד
- מטרות
- מבחן
- בדיקות
- זֶה
- השמיים
- המידע
- הולנד
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- הֵם
- זֶה
- אלפים
- איום
- איום שחקנים
- דרך
- זמן
- ל
- להעביר
- להפעיל
- תור
- פנייה
- פעמים
- שתיים
- ייחודי
- us
- ארה"ב פדרלי
- להשתמש
- משתמש
- באמצעות
- מוכר
- ספקים
- מאוד
- קורבנות
- פגיעות
- פגיע
- הליכה
- היה
- גלים
- דֶרֶך..
- דרכים
- we
- היו
- אשר
- מי
- למה
- נָפוֹץ
- מוכן
- עם
- עובד
- שנים
- עוד
- זפירנט