作为第一个已知受害者的名字 MOVEit 零日利用 4 月 XNUMX 日开始投放,Microsoft 将该活动链接到 Cl0p 勒索软件装备,它称之为“蕾丝风暴”。这使得这只是该团伙针对各种文件传输服务的一系列非常相似的网络攻击中的最新一起。
自从 1 月 XNUMX 日以来,Progress Software 公布了一个零日漏洞 在其 MOVEit 文件传输程序中,研究人员和可能受影响的组织一直在努力收拾残局。 曼迪安分析 表明黑客早在 27 月 XNUMX 日星期六就开始利用零日漏洞,而威胁情报公司 Greynoise 报告观察 “最早于 3 年 2023 月 XNUMX 日扫描位于 / human.aspx 的 MOVEit Transfer 登录页面的活动。”
直到最近 24 小时,这场运动的一些著名受害者才开始曝光。 新斯科舍省政府是 目前正在尝试衡量 有多少公民数据被盗,英国薪资公司 Zellis 的数据泄露已导致其一些知名客户(包括 Boots、 BBC及 英国航空.
在归因方面,截至 2 月 XNUMX 日,Mandiant 一直将肇事者视为一个潜在的新群体,与 FIN11 网络犯罪团伙,以其勒索软件和勒索活动以及作为 Clop 附属公司的地位而闻名。 A 周日晚上发布的推文 微软提供了一个更明确的结论:
“微软将攻击归因于利用 CVE-2023-34362 MOVEit 将 0day 漏洞转移到 Lace Tempest,该漏洞以勒索软件操作和运行 Clop 勒索网站而闻名。威胁行为者过去曾利用类似的漏洞窃取数据并勒索受害者,”推文写道。
微软告诉 Dark Reading :“我们多年来一直在关注这个威胁行为者。”他们是“多年来造成大量威胁的知名组织。Lace Tempest(与 FIN11 重叠, TA505)是勒索软件和新兴勒索领域的主导力量。”
受影响的组织应如何应对 CVE-2023-34362
对于 Huntress 的高级安全研究员约翰·哈蒙德 (John Hammond) 来说,他一直 跟踪过去一周的漏洞,微软的归属引起了受害者的重大担忧。 “我不知道接下来会发生什么。我们还没有看到任何勒索软件的要求、勒索或勒索。我不知道我们是否在等待,或者接下来会发生什么,”他想知道。
2月XNUMX日,进步软件发布 CVE-2023-34362 的补丁. 但有证据表明,攻击者早在 27 月 3 日(如果不是 XNUMX 月 XNUMX 日)就已经在利用它,仅仅打补丁不足以让现有客户被认为是安全的。
一方面,任何已被盗的数据都可以并且可能被用于后续攻击。正如微软指出的那样,“Lace Tempest 有两种受害者。第一种是服务器被利用的受害者,其中 Web shell 被丢弃(并可能与之交互以进行侦察)。第二种类型是 Lace Tempest 窃取的受害者数据。”我们预计他们的下一步行动将是勒索经历过数据盗窃的受害者。”
作为最低限度,哈蒙德建议客户不仅要打补丁,还要“检查这些日志,看看有哪些工件,看看是否可以删除任何其他钩子和爪子。即使打补丁,也要确保 Web shell 具有已被删除。这是一个尽职调查的问题。”
网络火力下的文件传输服务
无论进行多少 MOVEit 清理工作,都无法解决最近似乎存在的更深层次的根本问题:很明显,黑客组织已将文件传输服务视为金融网络犯罪的金矿。
就在几个月前, 网络犯罪分子涌入 IBM 的 Aspera Faspex。一个月前,Cl0p 执行了一项与上周的活动惊人相似的活动 针对 Fortra 的 GoAnywhere 服务。这甚至不是 Cl0p 第一次涉足文件传输漏洞 — 几年前,他们对 Accelion 做了同样的事情.
通过这些服务传输敏感数据的公司将需要找到一个长期的解决方案来解决这个普遍存在的问题。然而,长期解决方案到底是什么尚不清楚。
哈蒙德建议“尝试限制您的攻击面。我们可以采取一切措施来减少我们不需要的软件,或者可以以更好、更现代的方式处理的应用程序。我认为,这些可能是最好的词目前的建议除了:补丁之外。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :具有
- :是
- :不是
- :在哪里
- $UP
- 1
- 2023
- 24
- 27
- 3
- a
- 活动
- 忠告
- 联盟
- 驳
- 航空公司
- 已经
- 还
- 量
- an
- 和
- 预料
- 任何
- 应用领域
- 保健
- 围绕
- AS
- At
- 攻击
- 攻击
- 背部
- 英国广播公司
- BE
- 很
- before
- 开始
- 最佳
- 更好
- 敲诈
- 靴子
- 违反
- 违规
- 英国的
- 英国航空公司
- 但是
- by
- 呼叫
- 营销活动
- 活动
- CAN
- 造成
- 公民
- 清除
- 客户
- CO
- 如何
- 未来
- 公司
- 关心
- 关注
- 结论
- 进行
- 考虑
- 可以
- 合作伙伴
- 网络
- 网络攻击
- 网络犯罪
- 黑暗
- 暗读
- data
- 更深
- 明确
- 需求
- DID
- 勤勉
- do
- 优势
- 不
- 下降
- 两
- 早
- 努力
- 或
- 新兴经济体的新市场。
- 更多
- 醚(ETH)
- 甚至
- 证据
- 究竟
- 执行
- 现有
- 有经验
- 剥削
- 敲诈
- 秋季
- 少数
- 文件
- 金融
- 找到最适合您的地方
- 公司
- 姓氏:
- 以下
- 针对
- 突袭
- 力
- 止
- 刚
- Go
- 去
- 政府
- 团队
- 组的
- 黑客
- 黑客
- 民政事务总署
- 发生
- 有
- he
- 点击此处
- 高调
- 钩
- HOURS
- 创新中心
- HTTPS
- i
- IBM
- 确定
- if
- in
- 包含
- 房源搜索
- 成
- 发行
- IT
- 它的
- John
- JPG
- 六月
- 知道
- 已知
- 景观
- 名:
- 最新
- 光
- 极限
- 链接
- 链接
- 位于
- 登录
- 主要
- 使
- 制作
- 三月
- 问题
- 可能..
- 仅仅
- 微软
- 最低限度
- 镜面
- 现代
- 时刻
- 月
- 个月
- 更多
- 移动
- 许多
- 名称
- 需求
- 下页
- NIST
- 显着
- 小说
- 数
- of
- 最多线路
- on
- 一
- 仅由
- 运营
- or
- 组织
- 其他名称
- 输出
- 超过
- 页
- 过去
- 打补丁
- 修补
- 工资发放
- 挑
- 件
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 潜力
- 可能
- 先
- 市场问题
- 曲目
- 进展
- 出版
- 提高
- 勒索
- RE
- 阅读
- 阅读
- 建议
- 减少
- 去掉
- 去除
- 研究员
- 研究人员
- 回应
- 提供品牌战略规划
- 滚
- 运行
- s
- 安全
- 同
- 星期六
- 扫描
- 其次
- 保安
- 看到
- 似乎
- 看到
- 前辈
- 敏感
- 特色服务
- 壳
- 应该
- 显著
- 类似
- 只是
- 自
- 网站
- 坐在
- 软件
- 方案,
- 一些
- 开始
- Status
- 被盗
- 串
- 建议
- 磁化面
- 告诉
- 比
- 这
- 盗窃
- 其
- 那里。
- 博曼
- 他们
- 事
- 认为
- Free Introduction
- 那些
- 虽然?
- 威胁
- 威胁情报
- 威胁
- 通过
- 次
- 至
- 交通
- 转让
- 治疗
- 尝试
- 谈到
- 鸣叫
- 二
- 类型
- Uk
- 下
- 相关
- 用过的
- 各个
- Ve
- 非常
- 受害者
- 漏洞
- 漏洞
- 等候
- 是
- 不是
- 方法..
- we
- 卷筒纸
- 周
- 知名
- 为
- 什么是
- 任何
- ,尤其是
- 这
- 而
- WHO
- 将
- 话
- 年
- 但
- 您
- 您一站式解决方案
- 和风网