همانطور که نام اولین قربانیان شناخته شده از بهره برداری روز صفر MOVEit مایکروسافت این کمپین را در 4 ژوئن آغاز کرد باج افزار Cl0p، که آن را "طوفان توری" می نامد. این باعث می شود که این تنها آخرین مورد از یک رشته حملات سایبری بسیار مشابه علیه سرویس های مختلف انتقال فایل توسط این باند باشد.
از اول ژوئن که نرم افزار Progress آسیب پذیری روز صفر را اعلام کرد در برنامه انتقال فایل MOVEit، محققان و سازمانهای بالقوه آسیبدیده تلاش کردهاند تا این قطعات را انتخاب کنند. تجزیه و تحلیل از Mandiant پیشنهاد کرد که هکرها از شنبه قبل، 27 می، سوء استفاده از روز صفر را آغاز کرده بودند، در حالی که شرکت اطلاعاتی Greynoise تهدید می کرد. گزارش مشاهده کرد فعالیت اسکن برای صفحه ورود MOVEit Transfer واقع در /human.aspx در اوایل 3 مارس 2023.
تنها در 24 ساعت گذشته برخی از قربانیان قابل توجه این کمپین آشکار شدند. دولت نوا اسکوشیا است در حال حاضر سعی در اندازه گیری چه مقدار از دادههای شهروندانش به سرقت رفته است، و نقض حقوق و دستمزد Zellis، یک شرکت حقوق و دستمزد بریتانیا، باعث سازشهای پایین دستی برای برخی از مشتریان برجسته آن، از جمله Boots شده است. بی بی سیو بریتیش ایرویز.
در مورد انتساب، از 2 ژوئن، Mandiant با عاملان به عنوان یک گروه بالقوه بدیع برخورد می کرد، با پیوندهای احتمالی به باند جرایم سایبری FIN11، که به خاطر کمپین های باج افزار و اخاذی و وضعیت به عنوان یک شرکت وابسته به Clop شناخته شده است. آ توییتی که عصر یکشنبه منتشر شد توسط مایکروسافت نتیجه گیری قطعی تری ارائه کرد:
مایکروسافت حملاتی را نسبت میدهد که از آن بهرهبرداری میکنند CVE-2023-34362 آسیبپذیری 0 روزه MOVEit به Lace Tempest، که به خاطر عملیات باجافزاری و اجرای سایت اخاذی Clop معروف است، منتقل میکند. عامل تهدید در گذشته از آسیب پذیری های مشابه برای سرقت داده ها و اخاذی از قربانیان استفاده کرده است.
مایکروسافت به Dark Reading میگوید: «این عامل تهدید، عاملی است که ما سالها دنبالش هستیم. آنها «گروهی شناخته شده هستند که مسئول تعداد قابل توجهی از تهدیدات در طول سال ها هستند. طوفان توری (همپوشانی با FIN11، TA505) یک نیروی غالب در باج افزار و چشم انداز اخاذی در حال ظهور است."
چگونه سازمان های تحت تأثیر باید به CVE-2023-34362 پاسخ دهند
برای جان هاموند، یک محقق ارشد امنیتی برای Huntress که بوده است ردیابی آسیبپذیری در هفته گذشته، انتساب مایکروسافت نگرانی های عمده ای را برای قربانیان ایجاد می کند. "من نمی دانم بعد از آن چه اتفاقی خواهد افتاد. ما هنوز هیچ درخواست باج افزار یا اخاذی یا باج خواهی ندیده ایم. نمیدانم منتظر نشستهایم یا نه؟
در 2 ژوئن، Progress Software منتشر شد یک پچ برای CVE-2023-34362. اما با وجود شواهدی که نشان میدهد مهاجمان در اوایل 27 می (اگر نه 3 مارس) از آن سوء استفاده میکردند، صرفاً وصلهسازی برای ایمن در نظر گرفتن مشتریان فعلی کافی نیست.
برای یک چیز، هر داده ای که قبلاً به سرقت رفته است می تواند و ممکن است در حملات بعدی مورد استفاده قرار گیرد. همانطور که مایکروسافت اشاره میکند، «دو نوع قربانی در طوفان توری وجود داشته است. اول قربانیانی هستند که یک سرور مورد سوء استفاده قرار گرفته اند که در آن یک پوسته وب رها شده است (و به طور بالقوه برای انجام شناسایی با آنها تعامل داشته است). نوع دوم قربانیانی هستند که Lace Tempest داده ها را به سرقت برده است. ما پیشبینی میکنیم که اقدام بعدی آنها اخاذی از قربانیانی باشد که سرقت اطلاعات را تجربه کردهاند.»
به عنوان حداقل، هاموند توصیه می کند که مشتریان نه تنها وصله کنند، بلکه «از آن سیاهه ها عبور کنند، ببینند چه مصنوعاتی وجود دارد، ببینند آیا می توانید هر قلاب و پنجه دیگری را بردارید یا خیر. حتی اگر پچ کردید، بروید مطمئن شوید که پوسته وب حذف و پاک شده است. در اینجا یک موضوع دقت لازم است.»
خدمات انتقال فایل تحت آتش سایبری
هیچ مقدار پاکسازی MOVEit نمی تواند مشکل اساسی و عمیق تری را که به نظر می رسد اخیراً در حال رخ دادن است، برطرف کند: واضح است که گروه های هکر خدمات انتقال فایل را به عنوان معدن طلا برای جرایم سایبری مالی شناسایی کرده اند.
همین چند ماه پیش، مجرمان سایبری Aspera Faspex IBM را مورد حمله قرار دادند. یک ماه قبل از آن، Cl0p کمپینی را با شباهت چشمگیر به تلاش هفته گذشته در آن زمان اجرا کرد. در برابر سرویس GoAnywhere Fortra. این حتی اولین حمله Cl0p به نقض انتقال فایل نبود - سال ها قبل، آنها همین کار را با Accelion انجام دادند.
شرکتهایی که دادههای حساس را با این سرویسها ترافیک میکنند، باید راهحلی طولانیمدت برای مشکلی که در حال تبدیل شدن به یک مشکل بومی است بیابند. با این حال، این راه حل درازمدت دقیقاً چه خواهد بود، مشخص نیست.
هاموند توصیه می کند که «سعی کنید سطح حمله خود را محدود کنید. هر کاری که میتوانیم برای کاهش نرمافزارهایی که یا به آنها نیاز نداریم، یا برنامههایی که میتوان به روشی بهتر و مدرنتر با آنها کار کرد، انجام دهیم. اینها، به نظر من، شاید بهترین نصیحت در حال حاضر به غیر از: پچ باشند.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : دارد
- :است
- :نه
- :جایی که
- $UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- فعالیت
- نصیحت
- وابسته
- در برابر
- راههای هوایی
- قبلا
- همچنین
- مقدار
- an
- و
- سبقت جستن
- هر
- برنامه های کاربردی
- هستند
- دور و بر
- AS
- At
- حمله
- حمله
- به عقب
- بی بی سی
- BE
- بوده
- قبل از
- شروع شد
- بهترین
- بهتر
- تهدید
- چکمه های
- شکاف
- نقض
- انگلیسی
- راههای هوایی بریتانیایی
- اما
- by
- تماس ها
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- ایجاد می شود
- شهروندان
- واضح
- مشتریان
- CO
- بیا
- آینده
- شرکت
- علاقمند
- نگرانی ها
- نتیجه
- رفتار
- در نظر گرفته
- میتوانست
- مشتریان
- سایبر
- حملات سایبری
- جرایم اینترنتی
- تاریک
- تاریک خواندن
- داده ها
- عمیق تر
- قطعی
- خواسته
- DID
- سخت کوشی
- do
- غالب
- دان
- کاهش یافته است
- دو
- در اوایل
- تلاش
- هر دو
- سنگ سنباده
- کافی
- اتر (ETH)
- حتی
- مدرک
- کاملا
- اجرا شده
- موجود
- با تجربه
- سوء استفاده قرار گیرد
- اخاذی
- سقوط
- کمی از
- پرونده
- مالی
- پیدا کردن
- شرکت
- نام خانوادگی
- پیروی
- برای
- پیش بینی
- استحکام
- از جانب
- گروه
- Go
- رفتن
- دولت
- گروه
- گروه ها
- هکر
- هکرها
- بود
- رخ دادن
- آیا
- he
- اینجا کلیک نمایید
- مشخصات بالا
- قلاب
- ساعت ها
- چگونه
- HTTPS
- i
- آی بی ام
- شناسایی
- if
- in
- از جمله
- اطلاعات
- به
- صادر
- IT
- ITS
- جان
- JPG
- ژوئن
- دانستن
- شناخته شده
- چشم انداز
- نام
- آخرین
- سبک
- محدود
- مرتبط
- لینک ها
- واقع شده
- ورود
- عمده
- ساخت
- باعث می شود
- مارس
- ماده
- ممکن است..
- صرفا - فقط
- مایکروسافت
- حد اقل
- آینه
- مدرن
- لحظه
- ماه
- ماه
- بیش
- حرکت
- بسیار
- نام
- نیاز
- بعد
- نیست
- قابل توجه
- رمان
- عدد
- of
- ارائه شده
- on
- ONE
- فقط
- عملیات
- or
- سازمان های
- دیگر
- خارج
- روی
- با ما
- گذشته
- وصله
- پچ کردن
- حقوق و دستمزد
- انتخاب کنید
- قطعات
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- پتانسیل
- بالقوه
- قبلا
- مشکل
- برنامه
- پیشرفت
- منتشر شده
- افزایش
- باجافزار
- RE
- خواندن
- مطالعه
- توصیه می کند
- ق
- كاهش دادن
- برداشتن
- حذف شده
- پژوهشگر
- محققان
- پاسخ
- مسئوليت
- نورد
- در حال اجرا
- s
- امن
- همان
- روز شنبه
- پویش
- دوم
- تیم امنیت لاتاری
- دیدن
- به نظر می رسد
- مشاهده گردید
- ارشد
- حساس
- خدمات
- صدف
- باید
- قابل توجه
- مشابه
- به سادگی
- پس از
- سایت
- نشسته
- نرم افزار
- راه حل
- برخی از
- آغاز شده
- وضعیت
- به سرقت رفته
- رشته
- نشان می دهد
- سطح
- می گوید
- نسبت به
- که
- La
- سرقت
- شان
- آنجا.
- اینها
- آنها
- چیز
- فکر می کنم
- این
- کسانی که
- اگر چه؟
- تهدید
- تهدید هوش
- تهدید
- از طریق
- زمان
- به
- ترافیک
- انتقال
- درمان
- امتحان
- عطف
- صدای جیر جیر
- دو
- نوع
- Uk
- زیر
- اساسی
- استفاده
- مختلف
- Ve
- بسیار
- قربانیان
- آسیب پذیری ها
- آسیب پذیری
- منتظر
- بود
- نبود
- مسیر..
- we
- وب
- هفته
- معروف
- بود
- چی
- هر چه
- چه زمانی
- که
- در حین
- WHO
- اراده
- با
- کلمات
- سال
- هنوز
- شما
- شما
- زفیرنت