ตามชื่อเหยื่อรายแรกที่ทราบ การแสวงหาประโยชน์แบบ Zero-day ของ MOVEit เริ่มเปิดตัวในวันที่ 4 มิถุนายน Microsoft เชื่อมโยงแคมเปญกับ ชุดแรนซัมแวร์ Cl0pซึ่งเรียกว่า "Lace Tempest" นั่นทำให้นี่เป็นเพียงการโจมตีทางไซเบอร์ครั้งล่าสุดที่คล้ายกันมากต่อบริการถ่ายโอนไฟล์ต่างๆ โดยกลุ่มอาชญากร
นับตั้งแต่วันที่ 1 มิถุนายน เมื่อโปรเกรสซอฟต์แวร์ ประกาศช่องโหว่แบบ Zero-day ในโปรแกรมถ่ายโอนไฟล์ MOVEit นักวิจัยและองค์กรที่อาจได้รับผลกระทบได้พยายามรวบรวมชิ้นส่วนต่างๆ บทวิเคราะห์จาก Mandiant แนะนำว่าแฮกเกอร์เริ่มใช้ประโยชน์จากซีโรเดย์ตั้งแต่วันเสาร์ที่ 27 พฤษภาคมที่ผ่านมา ขณะที่บริษัทข่าวกรองด้านภัยคุกคาม Greynoise รายงานการสังเกต "กำลังสแกนกิจกรรมสำหรับหน้าเข้าสู่ระบบของ MOVEit Transfer ซึ่งอยู่ที่ /human.aspx ตั้งแต่วันที่ 3 มีนาคม 2023"
เฉพาะในช่วง 24 ชั่วโมงที่ผ่านมาเท่านั้นที่เหยื่อที่มีชื่อเสียงบางรายของแคมเปญนี้เริ่มปรากฏให้เห็น รัฐบาลแห่งโนวาสโกเชียคือ กำลังพยายามวัดอยู่ ข้อมูลของพลเมืองของตนถูกขโมยไปมากน้อยเพียงใด และการละเมิดที่ Zellis ซึ่งเป็นบริษัทบัญชีเงินเดือนของสหราชอาณาจักร ได้ก่อให้เกิดการประนีประนอมดาวน์สตรีมสำหรับลูกค้าที่มีชื่อเสียงบางราย รวมถึง Boots บีบีซีและ บริติชแอร์เวย์.
ในกรณีที่เกี่ยวข้องกับการระบุแหล่งที่มา ณ วันที่ 2 มิถุนายน Mandiant ปฏิบัติต่อผู้กระทำความผิดในฐานะกลุ่มที่อาจแปลกใหม่ ซึ่งอาจมีความเชื่อมโยงไปยัง แก๊งอาชญากรไซเบอร์ FIN11ซึ่งเป็นที่รู้จักในเรื่องแรนซัมแวร์และแคมเปญกรรโชกทรัพย์ และสถานะเป็นพันธมิตรของ Clop ก ทวีตเผยแพร่เมื่อเย็นวันอาทิตย์ โดย Microsoft เสนอข้อสรุปที่ชัดเจนยิ่งขึ้น:
“Microsoft ระบุแหล่งที่มาของการโจมตีที่ใช้ประโยชน์จาก CVE-2023-34362 MOVEit ถ่ายโอนช่องโหว่ 0 วันไปยัง Lace Tempest ซึ่งเป็นที่รู้จักในด้านการทำงานของแรนซัมแวร์และใช้งานไซต์กรรโชกทรัพย์ Clop ผู้ก่อภัยคุกคามเคยใช้ช่องโหว่ที่คล้ายกันในอดีตเพื่อขโมยข้อมูลและขู่กรรโชกเหยื่อ” ทวีตระบุ
“ผู้คุกคามรายนี้เป็นหนึ่งในสิ่งที่เราติดตามมานานหลายปี” Microsoft บอกกับ Dark Reading พวกเขาเป็น "กลุ่มที่มีชื่อเสียงซึ่งรับผิดชอบต่อภัยคุกคามจำนวนมากในช่วงหลายปีที่ผ่านมา Lace Tempest (ซ้อนทับด้วย FIN11, TA505) ถือเป็นกำลังสำคัญในแรนซัมแวร์และการขู่กรรโชกที่กำลังเกิดขึ้น"
องค์กรที่ได้รับผลกระทบควรตอบสนองต่อ CVE-2023-34362 อย่างไร
สำหรับจอห์น แฮมมอนด์ นักวิจัยอาวุโสด้านความปลอดภัยของฮันเทรสส์ ติดตามช่องโหว่ในสัปดาห์ที่ผ่านมานี้การระบุแหล่งที่มาของ Microsoft ทำให้เกิดข้อกังวลหลักสำหรับเหยื่อ “ผมไม่รู้ว่าจะเกิดอะไรขึ้นต่อไป เรายังไม่เห็นความต้องการแรนซัมแวร์ การขู่กรรโชก หรือการขู่กรรโชกใดๆ ผมไม่รู้ว่าเรากำลังรออยู่ หรือจะเกิดอะไรขึ้นต่อไป” เขาสงสัย
เมื่อวันที่ 2 มิถุนายน Progress Software ได้ออก แพทช์สำหรับ CVE-2023-34362. แต่ด้วยหลักฐานที่บ่งชี้ว่าผู้โจมตีได้ใช้ประโยชน์จากมันแล้วตั้งแต่วันที่ 27 พฤษภาคม หากไม่ใช่วันที่ 3 มีนาคม การแพตช์เพียงอย่างเดียวไม่เพียงพอสำหรับลูกค้าปัจจุบันที่จะถือว่าปลอดภัย
ประการหนึ่ง ข้อมูลใดๆ ที่ถูกขโมยไปแล้วสามารถและอาจนำไปใช้ในการโจมตีที่ตามมาได้ ตามที่ Microsoft ชี้ให้เห็น "มีเหยื่อของ Lace Tempest สองประเภท ประเภทแรกคือเหยื่อที่มีเซิร์ฟเวอร์ที่ถูกโจมตีซึ่งมี Web Shell หลุดออกไป (และอาจโต้ตอบด้วยเพื่อทำการลาดตระเวน) ประเภทที่สองคือเหยื่อที่ Lace Tempest ขโมยไป ข้อมูล." เราคาดว่าการดำเนินการครั้งต่อไปของพวกเขาจะเป็นการขู่กรรโชกเหยื่อที่เคยถูกขโมยข้อมูล"
อย่างน้อยที่สุด Hammond แนะนำว่าลูกค้าไม่เพียงแค่ทำการแพตช์เท่านั้น แต่ยัง "ตรวจสอบบันทึกเหล่านั้นด้วย ดูว่ามีสิ่งประดิษฐ์ใดบ้าง ดูว่าคุณสามารถถอด hooks และ claws อื่นๆ ออกได้หรือไม่ แม้ว่าคุณจะทำการแพตช์แล้วก็ตาม ให้ตรวจสอบให้แน่ใจว่า Web Shell มี ถูกลบออกแล้ว มันเป็นเรื่องของความรอบคอบที่นี่”
บริการถ่ายโอนไฟล์ภายใต้ Cyber Fire
ไม่มีการทำความสะอาด MOVEit จำนวนเท่าใดที่สามารถแก้ไขปัญหาที่ลึกลงไปกว่านั้นซึ่งดูเหมือนว่าจะเกิดขึ้นเมื่อเร็ว ๆ นี้: เป็นที่ชัดเจนว่ากลุ่มแฮ็กเกอร์ได้ระบุว่าบริการถ่ายโอนไฟล์เป็นขุมทองสำหรับอาชญากรรมทางการเงินในโลกไซเบอร์
เมื่อไม่กี่เดือนก่อน อาชญากรไซเบอร์รุม Aspera Faspex ของ IBM. หนึ่งเดือนก่อนหน้านั้น Cl0p ดำเนินการแคมเปญที่มีความคล้ายคลึงอย่างเห็นได้ชัดกับความพยายามของสัปดาห์ที่แล้วในครั้งนั้น ต่อต้านบริการ GoAnywhere ของ Fortra. นี่ไม่ใช่การโจมตีครั้งแรกของ Cl0p ในการละเมิดการถ่ายโอนไฟล์ — เมื่อหลายปีก่อน พวกเขาทำแบบเดียวกันกับ Accelion.
บริษัทที่รับส่งข้อมูลที่มีความละเอียดอ่อนด้วยบริการเหล่านี้ จะต้องค้นหาวิธีแก้ปัญหาในระยะยาวสำหรับสิ่งที่กลายเป็นปัญหาประจำถิ่น อย่างไรก็ตาม แนวทางแก้ไขในระยะยาวจะเป็นอย่างไรนั้นยังไม่ชัดเจน
แฮมมอนด์แนะนำให้ "พยายามจำกัดพื้นที่การโจมตีของคุณ ไม่ว่าอะไรก็ตามที่เราสามารถทำได้เพื่อลดซอฟต์แวร์ที่เราไม่ต้องการ หรือแอปพลิเคชันที่สามารถจัดการได้ดีกว่าและทันสมัยกว่า ฉันคิดว่าสิ่งเหล่านี้อาจเป็นคำพูดที่ดีที่สุด ของคำแนะนำอื่น ๆ ในขณะนี้ นอกเหนือจาก: patch."
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตไอสตรีม. ข้อมูลอัจฉริยะ Web3 ขยายความรู้ เข้าถึงได้ที่นี่.
- การสร้างอนาคตโดย Adryenn Ashley เข้าถึงได้ที่นี่.
- ซื้อและขายหุ้นในบริษัท PRE-IPO ด้วย PREIPO® เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 1
- 2023
- 24
- 27
- 3rd
- a
- อยากทำกิจกรรม
- คำแนะนำ
- เข้าร่วม
- กับ
- สายการบิน
- แล้ว
- ด้วย
- จำนวน
- an
- และ
- คาดหวัง
- ใด
- การใช้งาน
- เป็น
- รอบ
- AS
- At
- โจมตี
- การโจมตี
- กลับ
- บีบีซี
- BE
- รับ
- ก่อน
- เริ่ม
- ที่ดีที่สุด
- ดีกว่า
- แบล็กเมล์
- บู๊ทส์
- ช่องโหว่
- การละเมิด
- British
- สายการบินบริติช
- แต่
- by
- โทร
- รณรงค์
- แคมเปญ
- CAN
- ที่เกิดจาก
- ประชา
- ชัดเจน
- ลูกค้า
- CO
- อย่างไร
- มา
- บริษัท
- เกี่ยวข้อง
- ความกังวลเกี่ยวกับ
- ข้อสรุป
- ความประพฤติ
- ถือว่า
- ได้
- ลูกค้า
- ไซเบอร์
- cyberattacks
- อาชญากรรม
- มืด
- การอ่านที่มืด
- ข้อมูล
- ลึก
- แตกหัก
- ความต้องการ
- DID
- ความขยัน
- do
- เด่น
- สวม
- ปรับตัวลดลง
- สอง
- ก่อน
- ความพยายาม
- ทั้ง
- กากกะรุน
- พอ
- อีเธอร์ (ETH)
- แม้
- หลักฐาน
- เผง
- ดำเนินการ
- ที่มีอยู่
- มีประสบการณ์
- ใช้ประโยชน์
- การกรรโชก
- ตก
- สองสาม
- เนื้อไม่มีมัน
- ทางการเงิน
- หา
- บริษัท
- ชื่อจริง
- ดังต่อไปนี้
- สำหรับ
- โจมตี
- บังคับ
- ราคาเริ่มต้นที่
- แก๊ง
- Go
- ไป
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- แฮ็กเกอร์
- แฮกเกอร์
- มี
- เกิดขึ้น
- มี
- he
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ประวัติดี
- ตะขอ
- ชั่วโมง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- i
- ไอบีเอ็ม
- ระบุ
- if
- in
- รวมทั้ง
- Intelligence
- เข้าไป
- ทุนที่ออก
- IT
- ITS
- จอห์น
- jpg
- มิถุนายน
- ทราบ
- ที่รู้จักกัน
- ภูมิประเทศ
- ชื่อสกุล
- ล่าสุด
- เบา
- LIMIT
- ที่เชื่อมโยง
- การเชื่อมโยง
- ที่ตั้งอยู่
- เข้าสู่ระบบ
- สำคัญ
- ทำ
- ทำให้
- มีนาคม
- เรื่อง
- อาจ..
- แค่
- ไมโครซอฟท์
- ขั้นต่ำ
- กระจก
- ทันสมัย
- ขณะ
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- ย้าย
- มาก
- ชื่อ
- จำเป็นต้อง
- ถัดไป
- NIST
- โดดเด่น
- นวนิยาย
- จำนวน
- of
- เสนอ
- on
- ONE
- เพียง
- การดำเนินการ
- or
- องค์กร
- อื่นๆ
- ออก
- เกิน
- หน้า
- อดีต
- ปะ
- ปะ
- บัญชีเงินเดือน
- เลือก
- ชิ้น
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ที่มีศักยภาพ
- ที่อาจเกิดขึ้น
- ก่อน
- ปัญหา
- โครงการ
- ความคืบหน้า
- การตีพิมพ์
- ยก
- ransomware
- RE
- อ่าน
- การอ่าน
- แนะนำ
- ลด
- เอาออก
- ลบออก
- นักวิจัย
- นักวิจัย
- ตอบสนอง
- รับผิดชอบ
- ม้วน
- วิ่ง
- s
- ปลอดภัย
- เดียวกัน
- วันเสาร์
- การสแกน
- ที่สอง
- ความปลอดภัย
- เห็น
- ดูเหมือนว่า
- เห็น
- ระดับอาวุโส
- มีความละเอียดอ่อน
- บริการ
- เปลือก
- น่า
- สำคัญ
- คล้ายคลึงกัน
- ง่ายดาย
- ตั้งแต่
- เว็บไซต์
- นั่ง
- ซอฟต์แวร์
- ทางออก
- บาง
- ข้อความที่เริ่ม
- Status
- ที่ถูกขโมย
- เชือก
- แนะนำ
- พื้นผิว
- บอก
- กว่า
- ที่
- พื้นที่
- การโจรกรรม
- ของพวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- สิ่ง
- คิด
- นี้
- เหล่านั้น
- แต่?
- การคุกคาม
- ภัยคุกคามที่ชาญฉลาด
- ภัยคุกคาม
- ตลอด
- เวลา
- ไปยัง
- การจราจร
- โอน
- การรักษาเยียวยา
- ลอง
- การหมุน
- tweet
- สอง
- ชนิด
- Uk
- ภายใต้
- พื้นฐาน
- มือสอง
- ต่างๆ
- Ve
- มาก
- ผู้ที่ตกเป็นเหยื่อ
- ช่องโหว่
- ความอ่อนแอ
- ที่รอ
- คือ
- เคยเป็น
- ทาง..
- we
- เว็บ
- สัปดาห์
- โด่งดัง
- คือ
- อะไร
- อะไรก็ตาม
- เมื่อ
- ที่
- ในขณะที่
- WHO
- จะ
- กับ
- คำ
- ปี
- ยัง
- เธอ
- ของคุณ
- ลมทะเล