Blue Yonder, Clop’un tedarik zinciri yönetimi şirketini, fidye yazılımı grubunun hacklediğini iddia ettiği yaklaşık 60 şirket arasında listelemesinin ardından bir tehdidi araştırdığını söyledi. Saldırıların Cleo dosya aktarım yazılımındaki güvenlik açıklarından yararlanıldığı belirtildi. Zscaler’den araştırmacılar ve Avcı.
Cuma günü Blue Yonder’ın bir sözcüsü, şirketin belirli dosya aktarımlarını yönetmek için Cleo’yu kullandığını doğruladı. Sıfır gün onaylandıktan sonra Blue Yonder, tehdidi azaltmak için derhal adımlar attığını söyledi.
Sözcü, Cybersecurity Dive’a e-posta yoluyla şunları söyledi: “Dünya çapındaki birçok Cleo Harmony müşterisi gibi biz de şu anda bu konunun işimiz üzerindeki olası etkisini araştırıyoruz ve elimizde ek bilgiler oldukça müşterilerimizi güncellemeye devam ediyoruz.”
Tedarik zinciri teknolojisinin önde gelen sağlayıcılarından Blue Yonder, Bir fidye yazılımı saldırısı ortaya çıktı Kasım ayında dünya çapında çok sayıda müşteriyi etkiledi.
Saldırı, Starbucks’tan İngiltere’deki süpermarket zinciri Morrisons’a kadar pek çok firmayı etkiledi ve ilgili müşterilerin lojistik operasyonlarını sekteye uğrattı.
Finansal motivasyona sahip bir tehdit grubu olan Clop, MOVEit’in kitlesel kullanımıyla bağlantılı dosya aktarım yazılımı, daha önce Aralık ayında yapılan bir gönderide Cleo’nun güvenlik açıklarından yararlandığını öne sürmüştü.
Tehdit Cleo Harmony, VLTrader ve Lexicom’daki güvenlik açıklarıyla bağlantılı. Cleo Ekim ayında sınırsız dosya yükleme ve indirme güvenlik açığı konusunda uyarmıştı: CVE-2024-50623ancak Huntress araştırmacıları bu kusura yönelik yamanın yeterli koruma sağlamadığını buldu.
Olarak listelenen ikinci bir güvenlik açığı CVE-2024-55956kimliği doğrulanmamış bir saldırganın bir ana bilgisayar sistemine rastgele bash veya Powershell komutlarını içe aktarmasına ve yürütmesine izin verebilir. Bu güvenlik açığı Aralık ayında bir CVE atandıbir yamanın yayınlanmasından sadece birkaç gün sonra.
Güvenlik araştırmacıları Aralık ayında şirketi eleştirdi yamanın yayınlanmasındaki gecikmeler için.
Clop, şirketle iletişime geçmemeleri halinde bu hafta sonundan itibaren bu şirketlerden veri sızdırmakla tehdit etti.
Zscaler’den araştırmacılar, dosya aktarım hizmetlerinden yararlanmanın Clop için çok tanıdık bir alan olduğunu söyledi.
Zscaler CSO’su Deepen Desai e-posta yoluyla şunları söyledi: “Clop fidye yazılımı çetesinin, dosya aktarım uygulamalarındaki sıfır gün güvenlik açıklarından yararlanarak uzaktan kod yürütmeye ve yetkisiz erişime yol açarak toplu veri sızıntısına yol açan bu vektörü kullandığı biliniyor.”
Huntress araştırmacıları Aralık ayında tüketici ürünleri, kamyon taşımacılığı, gıda ve nakliye sektörlerindeki şirketlerin hedef alındığının farkında olduklarını söyledi.
Mandiant araştırmacıları, Cleo CVE’lerinden yararlanan tehdit aktörünün UNC5936 olduğunu belirledi. Araştırmacılar kümenin Clop olarak da bilinen FIN11 ile örtüştüğünü söyledi. Beacon ve Goldtomb gibi kötü niyetli arka kapılar, istismar edilen sistemlere yerleştirilmişti.