Şu anda fidye için British Airways (BA), Boots ve BBC gibi şirketleri elinde tutan Clop (bazı varyantlarda Cl0p) siber suç çetesinin arkasındaki tehdit aktörleri, MOVEit Transfer sıfır gününün verilerini çalmak için kullanıldığını neredeyse iki yıl önce keşfetmiş olabilir.
Bu, 8 Haziran’da Clop’un MOVEit Transfer tarafından yönetilen dosya aktarım ürünündeki SQL enjeksiyonundan yararlanmanın yollarını, toplu sızma olayından önce epey bir süredir denediğini gösteren bir analiz yayınlayan Kroll’daki tehdit araştırmacılarına göre. geçen hafta. Kroll, açığın kesinlikle mevcut olduğuna ve Nisan 2022’de ve muhtemelen Temmuz 2021’de test edildiğine inanıyor.
Ayrıca, Clop’un MOVEit istismarı üzerindeki geliştirme çalışmasını – şimdi CVE-2023-34362 olarak izleniyor – ilk olarak Şubat ayında gün ışığına çıkan Fortra GoAnywhere dosya aktarımı istismarından faydalandığı sırada tamamladığına dair göstergeler paylaştılar. o zamandan beri arka cebinde.
“Kroll’un analizine göre, Clop tehdit aktörlerinin MOVEit Transfer istismarını GoAnywhere olayı sırasında tamamlamış oldukları ve saldırıları paralel yerine sırayla gerçekleştirmeyi seçtikleri anlaşılıyor. Bu bulgular, muhtemelen kitlesel istismar olaylarından önce gelen önemli planlama ve hazırlığın altını çiziyor,” diye yazdı araştırma ekibi.
Kroll küresel olay müdahale başkanı Devon Ackerman, yardımcı genel müdürler Laurie Iacono ve Scott Downie ve yardımcı Dan Cox’tan oluşan ekip, 27 ve 28’in hafta sonlarında veya buna yakın bir tarihte CVE-2023-34362 ile ilişkili istismar faaliyetini analiz etti. Mayıs – önemli ölçüde, hem ABD’de hem de Birleşik Krallık’ta uzun bir tatil hafta sonu.
Genel olarak, bu faaliyet, bir web kabuğunun konuşlandırılmasına yol açan otomatikleştirilmiş bir kullanım zincirinden oluşuyordu. MOVEit aktarımının iki meşru bileşeni etrafında toplandı, ancak ekip etkilenen müşterilerin Microsoft Internet Information Services (IIS) günlüklerini incelediğinde, Temmuz 2021’den itibaren birden çok ortamda benzer etkinliklerin meydana geldiğine dair kanıt buldu.
Bu faaliyetteki en önemli artışlar 27 Nisan 2022’de ve daha sonra 15 ve 16 Mayıs 2023’te meydana geldi; bu, muhtemelen Clop’un kurban kuruluşlara erişimlerini test etmeye çalışmasının bir sonucuydu.
22 Mayıs 2023’te Clop, kuruluş tanımlayıcılarını MOVEit Transfer sunucularından geri çekmeye başladı. Ackerman ve diğerleri, çetenin muhtemelen hangi örgütleri tehlikeye attıklarını belirlemeye ve bunları kategorilere ayırıp envanterini çıkarmaya çalıştığını söyledi. Bu ani yükselme 22 dakika içinde meydana geldi ve birden çok kurban arasında tek bir IP adresiyle ilişkilendirildi.
Daha ayrıntılı analizler, iki yıllık zaman diliminde etkinlik artışları arasında daha fazla bağlantı buldu. Ekip, Clop’un Temmuz 2021’de CVE-2023-34362’yi manuel olarak test ederek nasıl başladığını ve yavaş yavaş otomatik bir çözüm geliştirdiğini gösterdi.
Yeni endişeler
Bu yazının yazıldığı sırada, MOVEit güvenlik açığı agresif bir şekilde istismar edilmeye devam ediyor ve Clop dün, kurbanların fidye müzakerelerine başlamak için kendisiyle iletişime geçmesi için yedi günlük bir son tarih belirledi. Bugüne kadar, yalnızca Clop’un onu istismar ettiği biliniyor, ancak bu, başkalarının kullanmayacağı anlamına gelmiyor. Halka açık internetten erişilebilen 2.000’den fazla MOVEit Transfer örneği olduğu düşünülüyor ve buna göre Kayıtbunların yaklaşık 130’u İngiltere’de bulunuyor.
Belki de daha endişe verici bir şekilde, Huntress’te kendi istismar analizlerini yürüten analistler, ilk başta düşünülenin aksine, fidye yazılımını dağıtmak ve yürütmek için CVE-2023-34362’yi kullanmanın önemsiz derecede kolay olabileceğini keşfettiler.
Huntress ekibi, saldırı zincirini yeniden oluşturdu ve ilk SQL enjeksiyon aşamasının rastgele kod yürütmeye kapı açtığını gördü. Kısa sürede, CVE-2023-34362’yi kullanarak Meterpreter kullanarak kabuk erişimi alabildiler, ayrıcalıklarını artırabildiler ve bir Clop fidye yazılımı yükünü patlatabildiler.
Huntress kıdemli güvenlik araştırmacısı John Hammond, “Bu, kimliği doğrulanmamış herhangi bir düşmanın anında fidye yazılımı dağıtan veya başka herhangi bir kötü niyetli eylem gerçekleştiren bir açıktan yararlanmayı tetikleyebileceği anlamına gelir” dedi.
“Kötü amaçlı kod, yerel yöneticiler grubundaki MOVEit hizmet hesabı kullanıcısı moveitsvc altında çalışır. Saldırgan, antivirüs korumalarını devre dışı bırakabilir veya herhangi başka bir rasgele kod yürütme gerçekleştirebilir.”
Hammond, şu ana kadar gözlemlenen davranışın MOVEit Transfer’i tehlikeye atmak için kesinlikle gerekli olmadığını, bunun yerine Clop’un muhtemelen kalıcılık için kullanmayı seçtiği bir seçenek olduğunu ekledi.
“Önerilen kılavuz hala yama yapmak ve günlüğe kaydetmeyi etkinleştirmektir. Kendi testimize göre yama, yeniden yaratılan istismarımızı etkili bir şekilde engelliyor” dedi.