Cl0p fidye yazılımı çetesi, Progress Software’in MOVEit dosya aktarım programının ihlalinin sorumluluğunu üstlendi. Uzmanlar, saldırının Batı dünyasında yüz milyonlarca ve milyar dolarlık kuruluşu etkileyerek yalnızca başarılı olmadığını, aynı zamanda şaşırtıcı derecede basit olduğunu söylüyor.
Araştırmacılar başlangıçta MOVEit bilgisayar korsanlarını yeni bir grup olarak takip etseler de, 4 Haziran’da Microsoft, saldırıyı Cl0p gasp web sitesini yönetmesiyle tanınan “Dantel Fırtınası” olarak izledikleri bir aktöre. 6 Haziran akşamı, Cl0p fidye yazılımı çetesi Microsoft’un hipotezini doğruladı. etkilenen kuruluşlara bir duyuru.
Oyuncular bozuk bir İngilizce ile “SEVGİLİ ŞİRKETLER.
Searchlight Cyber’in tehdit istihbaratı analisti Vlad Mironescu, Cl0p bağlantısının dramatik olmasına rağmen şaşırtıcı olmadığını söylüyor. “Cl0p’nin bir süredir dosya aktarım çözümlerinden yararlandığını biliyoruz: Accellion, SolarWinds, GoAnywhere, PaperCut ve şimdi de MOVEit. Onlar bu tür saldırıların ustaları.”
Huntress’in kıdemli güvenlik araştırmacısı John Hammond’un açıkladığı gibi, beklenmeyen şey, bu kadar başarılı bir saldırının bu kadar basit olduğu ortaya çıktı.
MOVEit Siber Saldırısı Nasıl Çalıştı?
MOVEit güvenlik açığı CVE-2023-34362’yi açmak için günler harcadıktan sonra Hammond, Cl0p’nin bunu nasıl yaptığı hakkında Dark Reading ile konuştu. Bir Zoom araması sırasında “Beni affet,” diyor, “Bunun ne kadar inekleşeceğini bilmiyorum.”
Hammond, MOVEit’in yamalı bir sürümünü çalıştıran sanal bir makineyi açar ve sihrini yapmadan önce ortamın nasıl göründüğünü göstermek için oturum açar. Amaç: Madagaskar filminden bir GIF yüklemek, izin gerekmez.
“Öyleyse hile şu: Devam edip yararlanabileceğimiz ve istismar edebileceğimiz herhangi bir SQL enjeksiyon güvenlik açığı var mı?” açıklıyor.
Komut İsteminde çalıştırmadan önce, kendi özel kötü amaçlı komut dosyasını içeren pencereyi açar. Kısa – görünüşe göre belki 100 satır. Bu, saldırının aslında oldukça basit olduğunu mu gösteriyor?
“Doğru,” diyor Hammond, tersine mühendislik mantığının izini sürerken. “Dolayısıyla, birisi gereken özeni göstererek – yama ile savunmasız sürümler arasındaki delta farklarını anlamaya çalışırsa – nelerin kaldırıldığını, nelerin temizlendiğini, nelerin değiştirildiğini ve Progress Software’in bu tehdidi nasıl hafiflettiğini görebilirsiniz.”
“Ve orijinal tehdit aktörü etkinliğinin günlükleri, yapbozun parçalarını bir araya getirmek ve ne yaptıklarını görmek için bize en azından biraz ekmek kırıntısı veriyor,” diye ekliyor onları yukarı çekerken.
“Burada da anlayabileceğiniz gibi, API belirteçlerini çalıyor ve dosyaları yüklüyor. Ve daha sonra, kalıcılık için Web kabuklarını yüklüyorlar,” diye açıklıyor. “Human2.aspx” dosya adı altındaki Web kabuğu LEMURLOOT, endüstri çapında MOVEit kurbanları için bir uzlaşma göstergesi (IOC) olarak tanımlanmıştır.
Cl0p, saldırı zinciri için aslında gerekli olmasa da, LEMURLOOT’u özgürce kullandı. İçinde bir yararlanma demosunun bir sürümü Hammond’un Dark Reading ile görüşmesinden sonra yayınlanan Huntress, LEMURLOOT yerine Meterpreter etkileşimli kabuğunu seçerek sanal bir makinenin sistem düzeyine yükseldi ve ardından bir Cl0p fidye yazılımı yükü dağıttı.
Yetkisiz Cl0p, basit SQL enjeksiyonunu kullanarak konuk kullanıcı kılığına girebilir, dosya sızdırabilir, kötü amaçlı yazılım yükleyebilir veya yetkisiz bir MOVEit ortamında hemen hemen her şeyi yapabilir.
Dark Reading gösterimini bitirmek için, Hammond betiğini çalıştırır ve örnek MOVEit penceresini yenileyerek bu sefer yeni bir dosya ortaya çıkarır: “reMOVEit.gif.”
MOVEit Transfer istismarı yalnızca SQL enjeksiyonu değildir(👀)
human2.aspx’i bırakmak için saldırı zincirinin en son aşamasını ortaya çıkardık, sonunda uzaktan kod yürütmeyi elde etmeye başladık ‼
Bir ters kabuk ve fidye yazılımı elde eden bir demo ile saldırı zincirini tamamen yeniden yarattık! pic.twitter.com/dPQX80wLQ8— John Hammond (@_JohnHammond) 6 Haziran 2023
Sırada Ne Var?
Kurbanların ve güvenlik topluluğunun ötesinde, birkaç siber suçlu MOVEit saldırısı hakkında sorular soruyor. Mironescu ve meslektaşlarının, çalınan bazı verileri satın almakla ilgilenen bir Rus Dark Web kullanıcısından tesadüfen buldukları aşağıdaki (İngilizce’ye çevrilmiş) gönderide olduğu gibi.
“Başka gönderiler oldu, ancak kapsam açısından daha sınırlı. İnsanlar verilerle ilgilendiklerini söylediler, ancak bir bütçe sağlamadılar. Ayrıca teknik kısımla ilgilendiğini ifade eden bir aktör gördük – muhtemelen bu güvenlik açığından yararlanmaya çalışıyordu [himself],” diye öne sürüyor Mironescu.
Akbabaların hurdalarını alıp almayacağı Cl0p’ye kadar olacak. Grup, 6 Haziran’da “BÖYLE BİR SALDIRIYI GERÇEKLEŞTİREN TEK KİŞİYİZ” dedi. Para kazanıp kazanamayacakları ve kazançlarını nasıl paylaşacakları, grubun inatçı kurbanlarının isimlerini verip onları utandırmaya başlamayı planladıkları 14 Haziran’da netleşebilir. .
Şimdilik, kurbanlara “VERİLERİNİZ GÜVENDE OLDUĞU İÇİN RAHATLAYIN” tavsiyesinde bulundular. Pek güven verici değil.