Như tên của những nạn nhân đầu tiên được biết đến của khai thác MOVEit zero-day bắt đầu triển khai vào ngày 4 tháng XNUMX, Microsoft đã liên kết chiến dịch với trang phục ransomware Cl0p, mà nó gọi là "Bão tố ren." Điều đó khiến đây chỉ là vụ mới nhất trong một chuỗi các cuộc tấn công mạng rất giống nhau nhằm vào các dịch vụ truyền tệp khác nhau của băng nhóm này.
Kể từ ngày 1 tháng XNUMX, khi Progress Software công bố lỗ hổng zero-day trong chương trình truyền tệp MOVEit của mình, các nhà nghiên cứu và các tổ chức có khả năng bị ảnh hưởng đã cố gắng thu thập các mảnh ghép. Phân tích từ Mandiant gợi ý rằng tin tặc đã bắt đầu khai thác zero-day sớm nhất là vào thứ Bảy trước đó, ngày 27 tháng XNUMX, trong khi công ty tình báo mối đe dọa Greynoise báo cáo quan sát "hoạt động quét trang đăng nhập của MOVEit Transfer có tại /human.aspx kể từ ngày 3 tháng 2023 năm XNUMX."
Chỉ trong 24 giờ qua, một số nạn nhân đáng chú ý của chiến dịch này mới bắt đầu được đưa ra ánh sáng. Chính phủ Nova Scotia là hiện đang cố gắng đánh giá bao nhiêu dữ liệu công dân của họ đã bị đánh cắp và sự vi phạm tại Zellis, một công ty trả lương ở Vương quốc Anh, đã gây ra sự thỏa hiệp đối với một số khách hàng cao cấp của họ, bao gồm Boots, BBCvà British Airways.
Khi quy kết có liên quan, kể từ ngày 2 tháng XNUMX, Mandiant đã coi thủ phạm là một nhóm mới tiềm năng, có liên kết tiềm ẩn với băng nhóm tội phạm mạng FIN11, được biết đến với các chiến dịch tống tiền và mã độc tống tiền và có tư cách là một chi nhánh của Clop. MỘT tweet được xuất bản vào tối chủ nhật của Microsoft đã đưa ra một kết luận dứt khoát hơn:
"Microsoft đang quy kết các cuộc tấn công khai thác CVE-2023-34362 MOVEit Chuyển lỗ hổng 0 ngày sang Lace Tempest, nổi tiếng với các hoạt động ransomware và điều hành trang web tống tiền Clop. Kẻ đe dọa đã sử dụng các lỗ hổng tương tự trong quá khứ để đánh cắp dữ liệu và tống tiền nạn nhân”, dòng tweet viết.
Microsoft nói với Dark Reading: “Tác nhân đe dọa này là kẻ mà chúng tôi đã theo dõi trong nhiều năm”. Họ là "một nhóm nổi tiếng chịu trách nhiệm về một số lượng đáng kể các mối đe dọa trong những năm qua. Lace Tempest (chồng chéo với FIN11, TA505) là thế lực thống trị trong bối cảnh tống tiền và ransomware mới nổi."
Các tổ chức bị ảnh hưởng nên phản hồi CVE-2023-34362 như thế nào
Đối với John Hammond, nhà nghiên cứu bảo mật cấp cao của Huntress, người đã từng theo dõi lỗ hổng trong tuần qua, sự quy kết của Microsoft gây ra mối lo ngại lớn cho nạn nhân. "Tôi không biết điều gì sẽ xảy ra tiếp theo. Chúng tôi chưa thấy bất kỳ yêu cầu, tống tiền hay tống tiền nào của ransomware. Tôi không biết liệu chúng tôi có đang ngồi chờ hay điều gì sẽ xảy ra tiếp theo", anh tự hỏi.
Ngày 2 tháng XNUMX, Progress Software đã phát hành một bản vá cho CVE-2023-34362. Nhưng với bằng chứng cho thấy rằng những kẻ tấn công đã khai thác nó ngay từ ngày 27 tháng 3, nếu không phải là ngày XNUMX tháng XNUMX, thì việc chỉ vá lỗi đơn giản là không đủ để các khách hàng hiện tại được coi là an toàn.
Thứ nhất, bất kỳ dữ liệu nào đã bị đánh cắp đều có thể và có thể được sử dụng trong các cuộc tấn công tiếp theo. Như Microsoft đã chỉ ra, "có hai loại nạn nhân của Lace Tempest. Đầu tiên là những nạn nhân có máy chủ bị khai thác, nơi một Web shell bị đánh rơi (và có khả năng tương tác với nó để tiến hành trinh sát). Loại thứ hai là những nạn nhân bị Lace Tempest đánh cắp dữ liệu." Chúng tôi dự đoán hành động tiếp theo của họ sẽ là tống tiền những nạn nhân đã từng bị đánh cắp dữ liệu.”
Ở mức tối thiểu, Hammond khuyên khách hàng không chỉ vá mà còn phải "xem qua các nhật ký đó, xem có những đồ tạo tác nào ở đó, xem liệu bạn có thể loại bỏ bất kỳ móc và móng vuốt nào khác hay không. Ngay cả khi bạn vá, hãy đảm bảo rằng Web shell có đã bị xóa và xóa. Đây là vấn đề cần được thẩm định."
Dịch vụ truyền tệp dưới Cyber Fire
Việc dọn dẹp MOVEit dù ở mức độ nào cũng sẽ không khắc phục được một vấn đề tiềm ẩn sâu xa hơn dường như đang xảy ra gần đây: Rõ ràng là các nhóm tin tặc đã xác định các dịch vụ truyền tệp là mỏ vàng cho tội phạm mạng tài chính.
Chỉ vài tháng trở lại đây, tội phạm mạng tấn công Aspera Faspex của IBM. Một tháng trước đó, Cl0p đã thực hiện một chiến dịch tương tự như nỗ lực của tuần trước, vào thời điểm đó chống lại dịch vụ GoAnywhere của Fortra. Đây thậm chí không phải là bước đột phá đầu tiên của Cl0p vào lĩnh vực vi phạm chuyển tập tin — năm trước, họ cũng làm như vậy với Accelion.
Các công ty lưu lượng dữ liệu nhạy cảm bằng các dịch vụ này sẽ cần tìm giải pháp lâu dài hơn cho vấn đề đang trở thành vấn đề đặc hữu. Tuy nhiên, chính xác thì giải pháp dài hạn đó sẽ là gì vẫn chưa rõ ràng.
Hammond khuyến nghị "cố gắng hạn chế bề mặt tấn công của bạn. Bất cứ điều gì chúng ta có thể làm để giảm bớt phần mềm mà chúng ta không cần hoặc các ứng dụng có thể được xử lý theo cách tốt hơn, hiện đại hơn. Tôi nghĩ đó có thể là những từ tốt nhất lời khuyên vào lúc này ngoài: vá lỗi."
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 2023
- 24
- 27
- 3rd
- a
- hoạt động
- tư vấn
- Liên kết
- chống lại
- đường hàng không
- Đã
- Ngoài ra
- số lượng
- an
- và
- dự đoán
- bất kì
- các ứng dụng
- LÀ
- xung quanh
- AS
- At
- tấn công
- Các cuộc tấn công
- trở lại
- bbc
- BE
- được
- trước
- đã bắt đầu
- BEST
- Hơn
- Sự dọa
- Giày ống
- vi phạm
- vi phạm
- Anh
- Hãng Hàng không Anh
- nhưng
- by
- Cuộc gọi
- Chiến dịch
- Chiến dịch
- CAN
- gây ra
- Công dân
- trong sáng
- khách hàng
- CO
- Đến
- đến
- công ty
- quan tâm
- Mối quan tâm
- phần kết luận
- Tiến hành
- xem xét
- có thể
- khách hàng
- không gian mạng
- Tấn công mạng
- tội phạm mạng
- tối
- Đọc tối
- dữ liệu
- sâu sắc hơn
- dứt khoát
- nhu cầu
- ĐÃ LÀM
- siêng năng
- do
- có ưu thế
- don
- hủy bỏ
- hai
- Đầu
- nỗ lực
- hay
- mới nổi
- đủ
- Ether (ETH)
- Ngay cả
- bằng chứng
- chính xác
- Thực thi
- hiện tại
- kinh nghiệm
- khai thác
- tống tiền
- Rơi
- vài
- Tập tin
- tài chính
- Tìm kiếm
- Công ty
- Tên
- tiếp theo
- Trong
- Sự đột phá
- Buộc
- từ
- Đám
- Go
- đi
- Chính phủ
- Nhóm
- Các nhóm
- của hacker
- tin tặc
- có
- xảy ra
- Có
- he
- tại đây
- tầm cỡ
- Hooks
- GIỜ LÀM VIỆC
- Độ đáng tin của
- HTTPS
- i
- IBM
- xác định
- if
- in
- Bao gồm
- Sự thông minh
- trong
- Ban hành
- IT
- ITS
- nhà vệ sinh
- jpg
- tháng sáu
- Biết
- nổi tiếng
- cảnh quan
- Họ
- mới nhất
- ánh sáng
- LIMIT
- liên kết
- liên kết
- nằm
- đăng nhập
- chính
- làm cho
- LÀM CHO
- Tháng Ba
- chất
- Có thể..
- chỉ đơn thuần là
- microsoft
- tối thiểu
- gương
- hiện đại
- thời điểm
- tháng
- tháng
- chi tiết
- di chuyển
- nhiều
- tên
- Cần
- tiếp theo
- nắm tay
- Nổi bật
- tiểu thuyết
- con số
- of
- cung cấp
- on
- ONE
- có thể
- Hoạt động
- or
- tổ chức
- Nền tảng khác
- ra
- kết thúc
- trang
- qua
- Vá
- Vá
- Lương bổng
- chọn
- miếng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điểm
- tiềm năng
- có khả năng
- Trước khi
- Vấn đề
- chương trình
- Tiến độ
- công bố
- tăng giá
- ransomware
- RE
- Đọc
- Reading
- đề nghị
- giảm
- tẩy
- Đã loại bỏ
- nhà nghiên cứu
- nhà nghiên cứu
- Trả lời
- chịu trách nhiệm
- Lăn
- chạy
- s
- an toàn
- tương tự
- ngày thứ bảy
- quét
- Thứ hai
- an ninh
- xem
- dường như
- đã xem
- cao cấp
- nhạy cảm
- DỊCH VỤ
- Shell
- nên
- có ý nghĩa
- tương tự
- đơn giản
- kể từ khi
- website
- Ngồi
- Phần mềm
- giải pháp
- một số
- bắt đầu
- Trạng thái
- ăn cắp
- Chuỗi
- đề nghị
- Bề mặt
- nói
- hơn
- việc này
- Sản phẩm
- trộm cắp
- cung cấp their dịch
- Đó
- Kia là
- họ
- điều
- nghĩ
- điều này
- những
- Tuy nhiên?
- mối đe dọa
- mối đe dọa tình báo
- các mối đe dọa
- Thông qua
- thời gian
- đến
- giao thông
- chuyển
- điều trị
- thử
- Quay
- kêu riu ríu
- hai
- kiểu
- Uk
- Dưới
- cơ bản
- đã sử dụng
- khác nhau
- Ve
- rất
- nạn nhân
- Lỗ hổng
- dễ bị tổn thương
- Đợi
- là
- không phải
- Đường..
- we
- web
- tuần
- nổi tiếng
- là
- Điều gì
- bất cứ điều gì
- khi nào
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- với
- từ
- năm
- nhưng
- bạn
- trên màn hình
- zephyrnet