FIN11 olarak bilinen mali amaçlı grupla ve diğer bilinen düşmanlarla olası bağlantıları olan bir tehdit grubu, yönetilen dosya aktarım teknolojisini kullanan kuruluşlardan veri çalmak için Progress Software’in MOVEit Transfer uygulamasındaki kritik bir sıfır gün güvenlik açığından aktif olarak yararlanıyor.
MOVEit Transfer, kuruluşların hassas verileri ve büyük dosyaları hem dahili hem de harici olarak değiş tokuş etmek için kullandıkları, yönetilen bir dosya aktarım uygulamasıdır. Kuruluşlar, yazılımı kurum içinde veya hizmet olarak altyapı veya bulutta hizmet olarak yazılım olarak dağıtabilir. Progress, MOVEit için Disney, Chase, BlueCross BlueShield, Geico ve Major League Baseball gibi büyük isimler de dahil olmak üzere binlerce müşteri talep ediyor.
Tehdidi izleyen Google’ın Mandiant güvenlik grubundan araştırmacılar, açıktan yararlanma etkinliğinin, şimdiye kadar mağdur olan kuruluşlara yönelik devam eden fidye yazılımı saldırılarının habercisi olabileceğine inanıyor. Benzer bir model, bu yılın başlarında, bir saldırganın müşteri sistemlerine erişmek ve onlardan veri çalmak için Forta’nın GoAnywhere dosya aktarım yazılımındaki sıfır günlük bir kusurdan yararlanmasının ardından ortaya çıktı.
Bu arada Microsoft Tehdit İstihbaratı ekibi söz konusu Bugün Twitter aracılığıyla, saldırıyı yalnızca FIN11 ile değil, aynı zamanda TA505, Evil Corp ve Cl0p çetesiyle de bağları olan finansal olarak motive edilmiş bir tehdit ve fidye yazılımı iştiraki olan “Lace Tempest” adını verdiği bir kötü adama bağladığını bildirdi.
Dakikalar İçinde Gerçekleşen Veri Hırsızlığı
Mandiant’ın MOVit Transfer saldırılarına ilişkin ilk araştırması, yararlanma etkinliğinin 27 Mayıs’ta veya Progress’in güvenlik açığını ifşa etmesinden ve yazılımın etkilenen tüm sürümleri için yamalar yayınlamasından yaklaşık dört gün önce başladığını gösterdi. Mandiant şimdiye kadar Kanada, Hindistan ve ABD’de bulunan birden fazla endüstri sektöründeki kurbanları belirledi, ancak etkinin çok daha geniş olabileceğine inanıyor.
Mandiant 2 Haziran’da bir blog gönderisinde, “Güvenlik açığından yararlanılmasının ardından, tehdit aktörleri, MOVEit Transfer yazılımının meşru bir bileşeni olan human.aspx gibi görünen dosya adlarına sahip yeni keşfedilen bir LEMURLOOT Web kabuğunu dağıtıyor.”
Web kabuğu, saldırganların MOVEit Transfer yazılımı çalıştıran bir sistemdeki dosya ve klasörleri numaralandırmak, yapılandırma bilgilerini almak ve bir kullanıcı hesabı oluşturmak veya silmek için komutlar vermesine olanak tanır. Mandiant’ın ilk analizi, tehdit aktörünün MOVEit Transfer kullanıcılarının önceden yüklemiş olabileceği verileri çalmak için LEMURLOOT kullandığını gösterdi. Mandiant, “Bazı durumlarda, Web kabuklarının konuşlandırılmasından sonraki dakikalar içinde veri hırsızlığı meydana geldi” dedi. Ayrıca, 28 Mayıs’tan bu yana VirusTotal’daki LEMURLOOT örnekleri, Almanya, İtalya ve Pakistan dahil olmak üzere diğer birçok ülkedeki kuruluşların da etkilendiğini gösteriyor.
Mandiant, tehdit aktörünü UNC4857 olarak izliyor ve onu, motivasyonları bilinmeyen önceden bilinmeyen bir grup olarak tanımlıyor. Ancak Mandiant, grubun MOVEit Transfer müşterilerine yönelik saldırılarından elde edilen birkaç eserin FIN11 ile bir bağlantı olduğunu öne sürdüğünü söyledi. FIN11, güvenlik araştırmacılarının en az 2016’dan beri bankalara, kredi birliklerine, perakendecilere ve diğer kuruluşlara yönelik çok sayıda mali amaçlı saldırıyla ilişkilendirdiği bir gruptur.
İstismar Etkinliğinin Olduğu Günler ve Muhtemel Haftalar
İlerleme, müşterilere MOVEit Transfer ortamlarını son 30 gün içinde şüpheli etkinlik açısından incelemelerini tavsiye etti; bu da, istismar etkinliğinin en azından o kadar uzun süredir devam ediyor olabileceğini düşündürüyor. Güvenlik açığını (artık CVE-2023-34362 olarak izleniyor), dosya aktarım yazılımının tüm sürümlerini etkileyen bir SQL enjeksiyon hatası olarak tanımladı. Şirket, kusurun MOVEit Transfer’in veritabanına kimliği doğrulanmamış erişime izin verdiğini belirterek, müşterilerin kusuru acil bir şekilde düzeltmeye çağırdığını belirtti. Şirketin danışma belgesi, kuruluşlara yamayı dağıtmadan önce uygulamalarını tavsiye ettiği bir dizi hafifletme adımı içeriyordu.
İnternet gürültüsüyle ilgili verileri toplayan ve analiz eden Greynoise, MOVEit ile ilgili tarama etkinliğinin 3 Mart’a kadar gittiğini gözlemlediğini ve müşterilerin incelemeleri için pencereyi en az 90 güne uzatmalarını tavsiye ettiğini söylüyor.
Huntress’in kıdemli güvenlik araştırmacısı John Hammond, şirketinin MOVEit Transfer’deki sıfır gün güvenlik açığına ilişkin araştırmasının, bunun Progress’in belirttiği gibi bir SQL enjeksiyon hatası veya sınırsız bir dosya yükleme güvenlik açığı veya her ikisi olabileceğini öne sürdüğünü söylüyor. Hammond, “Düşmanın teçhizatını henüz bilmiyoruz,” diyor. Progress, bunun bir SQL enjeksiyon güvenlik açığı olduğunu kamuoyuna açıklamış olsa da, saldırı zincirinin ve istismarın tüm ayrıntılarının bilinmediğini söylüyor.
Hammond, “Bu özel işlem için bir human2.aspx hazırlarken gördüğümüz davranış, SQL enjeksiyonundan sonra daha fazla kalıcılık ve kullanım sonrası kullanım için kullanılan yüklenmiş bir dosya gibi görünüyor” diyor. “SQL enjeksiyon güvenlik açığı, kimlik doğrulamayı atlayarak veya hassas veritabanı bilgilerini sızdırarak bu işlevsellik için kapıyı açabilir. Ancak ne yazık ki, henüz neyin ve nasıl olduğundan emin değiliz.”
Potansiyel Olarak Savunmasız Binlerce Ana Bilgisayar
Bu arada Censys, arama motorunun ve İnternet tarama platformunun şu anda MOVEit hizmetini kullanan 3.803 ana bilgisayar tespit ettiğini söyledi. Censys, bu örneklerin birçoğunun muhtemelen yamasız olduğunu ve bu nedenle saldırılara karşı savunmasız olduğunu söyledi. Censys 2 Haziran’da yaptığı açıklamada, “Özellikle endişe verici olan, finans sektörü, eğitim (27 sunucu ile) ve hatta ABD federal ve eyalet hükümeti (60’tan fazla sunucu ile) dahil olmak üzere bu yazılıma dayanan çeşitli endüstrilerdir.” Blog yazısı.
MOVEit’e yönelik saldırı, Ocak ayında Forta’nın GoAnywhere Yönetilen Dosya Aktarımı ürününü hedef alan benzer sıfır gün istismar faaliyetini takip ediyor. Bu durumda saldırganlar, bazı müşteri sistemlerinde yetkisiz kullanıcı hesapları oluşturmak için GoAnywhere’deki bir sıfır günlük uzaktan kod yürütme kusurundan (CVE-2023-0669) yararlandı ve bu hesapları veri çalmak ve ortama ek kötü amaçlı yazılım yüklemek için kullandı.
Forta’nın güvenlik açığının ifşa edilmesinden kısa bir süre sonra, Cl0p fidye yazılımı çetesi, dünya çapında 130’dan fazla kuruluşta bu sorundan yararlandığını söyledi. Güvenlik araştırmacıları, MOVEit ve GoAnywhere gibi dosya aktarım teknolojilerinin, veri şifreleme saldırılarından veri hırsızlığına yönelmek isteyen fidye yazılımı aktörleri için giderek daha popüler hedefler haline gelmesini bekliyor.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, Accellion’dan GoAnywhere’e dosya aktarım araçları ve ürünlerinin siber suçlular için değerli bir hedef haline geldiğini söylüyor. Bu, özellikle hassas verileri aktarmak için yönetilen dosya aktarım hizmetlerine güvenen yüzlerce kuruluşu ihlal eden Cl0p gibi fidye yazılımı çeteleri için geçerlidir.
Narang, “İşletmeler yıllar içinde dosya aktarım çözümlerine güvenmeye başladı, bu nedenle birkaç farklı seçenek mevcut,” diyor. “Tehdit aktörleri, dosya aktarım çözümlerinden ödün vererek, on yüzlerce işletmenin verilerini çalabilir.”
“Bireysel dosya aktarım örneklerini hedefleyerek, saldırganlar genellikle çok hassas bilgilere erişme fırsatına sahip olur. Bu, çalınan verileri Dark Web’e sızdırmakla tehdit edecek tehdit aktörleri, özellikle fidye yazılımı grupları için değerli olduğunu kanıtlıyor.”