Bilinen ilk kurbanlarının isimleri olarak MOVEit sıfır gün istismarı 4 Haziran'da devreye girmeye başlayan Microsoft, kampanyayı şuraya bağladı: Cl0p fidye yazılımı ekibi, buna "Dantel Fırtınası" adını veriyor. Bu, çetenin çeşitli dosya aktarım hizmetlerine karşı gerçekleştirdiği çok benzer siber saldırıların en sonuncusu.
1 Haziran'dan beri, Progress Software sıfır gün güvenlik açığı duyurdu MOVEit dosya aktarım programında, araştırmacılar ve potansiyel olarak etkilenen kuruluşlar parçaları toplamaya çalışıyor. Mandiant'tan Analiz tehdit istihbaratı şirketi Greynoise, bilgisayar korsanlarının sıfır günü istismar etmeye 27 Mayıs Cumartesi günü erken bir tarihte başladıklarını öne sürdü. gözlemlendiği bildirildi "3 Mart 2023 gibi erken bir tarihte /human.aspx adresinde bulunan MOVEit Transfer giriş sayfası için tarama etkinliği."
Sadece son 24 saat içinde bu kampanyanın bazı önemli kurbanları gün ışığına çıkmaya başladı. Nova Scotia hükümeti şu anda ölçmeye çalışıyor vatandaşlarının verilerinin ne kadarı çalındı ve Birleşik Krallık bordro şirketi Zellis'teki bir ihlal, Boots da dahil olmak üzere bazı yüksek profilli müşterileri için aşağı yönlü tavizlere neden oldu. BBC, ve British Airways.
Atıf söz konusu olduğunda, 2 Haziran itibarıyla Mandiant, faillere potansiyel bağlantıları olan potansiyel olarak yeni bir grup olarak davranıyordu. FIN11 siber suç çetesi, fidye yazılımı ve gasp kampanyaları ve bir Clop üyesi statüsü ile tanınır. A Pazar akşamı yayınlanan tweet Microsoft tarafından daha kesin bir sonuç sunuldu:
“Microsoft, saldırıları CVE-2023-34362 Fidye yazılımı operasyonları ve Clop şantaj sitesini çalıştırmasıyla tanınan Lace Tempest'e MOVEit Transfer 0 günlük güvenlik açığı. Tehdit aktörü geçmişte verileri çalmak ve kurbanları gasp etmek için benzer güvenlik açıklarını kullanmıştı.
Microsoft, Dark Reading'e "Bu tehdit aktörü, yıllardır takip ettiğimiz bir kişi" dedi. Onlar “yıllar boyunca önemli sayıda tehditten sorumlu olan tanınmış bir gruptur. Lace Tempest (FIN11 ile örtüşür, TA505) fidye yazılımı ve ortaya çıkan haraç ortamında baskın bir güçtür.”
Etkilenen Kuruluşlar CVE-2023-34362'ye Nasıl Yanıt Vermelidir?
Huntress'in kıdemli güvenlik araştırmacısı John Hammond için geçen haftaki güvenlik açığını izleme, Microsoft'un atıfı kurbanlar için büyük endişelere yol açıyor. "Bundan sonra ne olacağını bilmiyorum. Henüz herhangi bir fidye yazılımı talebi veya gasp veya şantaj görmedik. Bekliyor muyuz, yoksa bundan sonra ne olacak bilmiyorum” diye merak ediyor.
2 Haziran'da Progress Software yayınlandı CVE-2023-34362 için bir yama. Ancak, saldırganların bunu 27 Mart'ta değilse bile 3 Mayıs'ta zaten istismar ettiğini gösteren kanıtlarla, mevcut müşterilerin güvenli sayılması için yalnızca yama uygulamak yeterli değildir.
Her şeyden önce, zaten çalınmış olan herhangi bir veri sonraki saldırılarda kullanılabilir ve kullanılabilir. Microsoft'un işaret ettiği gibi, “Lace Tempest'in iki tür kurbanı olmuştur. Birincisi, bir Web kabuğunun bırakıldığı (ve keşif yapmak için potansiyel olarak etkileşimde bulunulduğu) istismar edilmiş bir sunucuya sahip kurbanlardır. İkinci tip, Lace Tempest'in verileri çaldığı kurbanlardır." Bir sonraki hamlelerinin veri hırsızlığına maruz kalmış kurbanları gasp etmek olacağını tahmin ediyoruz.”
En azından Hammond, müşterilere yalnızca yama yapmamalarını, aynı zamanda "o günlükleri gözden geçirmelerini, orada hangi eserlerin olduğunu görmelerini, diğer kancaları ve pençeleri çıkarıp çıkaramayacağınıza bakmalarını" tavsiye ediyor. Yama yapsanız bile, gidip Web kabuğunun kaldırıldığından ve silindiğinden emin olun. Burada durum tespiti meselesi.”
Siber Ateş Altında Dosya Aktarım Hizmetleri
Hiçbir MOVEit temizleme işlemi, son zamanlarda ortalıkta dolaşıyor gibi görünen daha derin ve altta yatan bir sorunu çözemez: Bilgisayar korsanı gruplarının dosya aktarım hizmetlerini finansal siber suçlar için bir altın madeni olarak belirledikleri açıktır.
Sadece birkaç ay önce, siber suçlular IBM'in Aspera Faspex'ini kuşattı. Bundan bir ay önce Cl0p, geçen haftaki çabaya çarpıcı bir benzerlik gösteren bir kampanya yürüttü. Fortra'nın GoAnywhere hizmetine karşı. Cl0p'nin dosya aktarım ihlallerine ilk saldırısı bile değildi — yıllar önce, aynısını Accelion'a da yaptılar.
Hassas verileri bu hizmetlerle trafiğe çıkaran şirketlerin, giderek yaygınlaşan bir soruna daha uzun vadeli bir çözüm bulması gerekecek. Bununla birlikte, bu uzun vadeli çözümün tam olarak ne olacağı belirsizdir.
Hammond, "saldırı yüzeyinizi sınırlamaya çalışmanızı" önerir. İhtiyacımız olmayan yazılımları veya daha iyi, daha modern bir şekilde ele alınabilecek uygulamaları azaltmak için ne yapabilirsek. Bence bunlar şu anda yama dışındaki en iyi tavsiye sözleri olabilir.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoAiStream. Web3 Veri Zekası. Bilgi Genişletildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- PREIPO® ile PRE-IPO Şirketlerinde Hisse Al ve Sat. Buradan Erişin.
- Kaynak: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- $UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- etkinlik
- tavsiye
- bağlı şirket
- karşı
- hava yolları
- zaten
- Ayrıca
- miktar
- an
- ve
- tahmin
- herhangi
- uygulamaları
- ARE
- etrafında
- AS
- At
- saldırı
- saldırılar
- Arka
- bbc
- BE
- olmuştur
- önce
- başladı
- İYİ
- Daha iyi
- Şantaj
- Botlar
- ihlal
- ihlalleri
- ingiliz
- ingiliz Havayolları
- fakat
- by
- aramalar
- Kampanya
- Kampanyalar
- CAN
- neden
- Vatandaşlar
- açık
- istemciler
- CO
- nasıl
- gelecek
- şirket
- ilgili
- Endişeler
- sonuç
- Davranış
- kabul
- olabilir
- Müşteriler
- Siber
- cyberattacks
- Siber suç
- karanlık
- karanlık okuma
- veri
- derin
- kesin
- talepleri
- DID
- çalışkanlık
- do
- baskın
- don
- düştü
- gereken
- Erken
- çaba
- ya
- ortaya çıkan
- yeterli
- Eter (ETH)
- Hatta
- kanıt
- kesinlikle
- infaz
- mevcut
- deneyimli
- sömürülen
- gasp
- Düşmek
- az
- fileto
- mali
- bulmak
- Firma
- Ad
- takip etme
- İçin
- akın
- Zorla
- itibaren
- Çete
- Go
- gidiş
- Hükümet
- grup
- Grubun
- Hacker
- hackerlar
- vardı
- olmak
- Var
- he
- okuyun
- yüksek profilli
- Çengeller
- SAAT
- Ne kadar
- HTTPS
- i
- IBM
- tespit
- if
- in
- Dahil olmak üzere
- İstihbarat
- içine
- Veriliş
- IT
- ONUN
- John
- jpg
- Haziran
- Bilmek
- bilinen
- manzara
- Soyad
- son
- ışık
- LİMİT
- bağlantılı
- bağlantılar
- bulunan
- giriş
- büyük
- yapmak
- YAPAR
- Mart
- Mesele
- Mayıs..
- sadece
- Microsoft
- asgari
- ayna
- Modern
- an
- Ay
- ay
- Daha
- hareket
- çok
- isimleri
- gerek
- sonraki
- NiST
- dikkate değer
- roman
- numara
- of
- sunulan
- on
- ONE
- bir tek
- Operasyon
- or
- organizasyonlar
- Diğer
- dışarı
- tekrar
- Kanal
- geçmiş
- Patch
- Yama
- Bordro
- seçmek
- parçalar
- Platon
- Plato Veri Zekası
- PlatoVeri
- noktaları
- potansiyel
- potansiyel
- Önceki
- Sorun
- Programı
- Ilerleme
- yayınlanan
- yükseltmeler
- fidye
- RE
- Okumak
- Okuma
- önerir
- azaltmak
- Kaldır
- çıkarıldı
- araştırmacı
- Araştırmacılar
- Yanıtlamak
- sorumlu
- Rulo
- koşu
- s
- güvenli
- aynı
- Cumartesi
- tarama
- İkinci
- güvenlik
- görmek
- görünüyor
- görüldü
- kıdemli
- hassas
- Hizmetler
- Kabuk
- meli
- önemli
- benzer
- sadece
- beri
- yer
- Oturan
- Yazılım
- çözüm
- biraz
- başladı
- Durum
- çalıntı
- dizi
- önermek
- yüzey
- anlatır
- göre
- o
- The
- hırsızlık
- ve bazı Asya
- Orada.
- Bunlar
- onlar
- şey
- düşünmek
- Re-Tweet
- Bu
- gerçi?
- tehdit
- tehdit istihbaratı
- tehditler
- İçinden
- zaman
- için
- trafik
- transfer
- tedavi
- denemek
- Dönüş
- Retweet
- iki
- tip
- Uk
- altında
- altında yatan
- Kullanılmış
- çeşitli
- Ve
- çok
- kurbanlar
- güvenlik açıkları
- güvenlik açığı
- Bekleyen
- oldu
- değildi
- Yol..
- we
- ağ
- hafta
- tanınmış
- vardı
- Ne
- ne
- ne zaman
- hangi
- süre
- DSÖ
- irade
- ile
- sözler
- yıl
- henüz
- sen
- zefirnet