Tehdit aktörleri, Cleo’nun dosya aktarım ürünleri Harmony, VLTrader ve LexiComis’teki kritik bir sıfır gün güvenlik açığından (CVE-2024-50623) aktif olarak yararlanıyor.
Sınırsız dosya yükleme ve indirme güvenlik açığından kaynaklanan kusur, kimlik doğrulaması yapılmadan uzaktan kod yürütülmesine (RCE) olanak tanıyor ve güvenli dosya aktarımları için Cleo yazılımına güvenen kuruluşlar için ciddi bir risk oluşturuyor.
Güvenlik açığı ilk olarak güvenlik satıcısı Huntress tarafından duyuruldu ve Huntress, kusurun Ekim ayında Cleo tarafından yayınlanan tamamlanmamış bir yamadan kaynaklandığını belirtti.
Sonraki yamalara rağmen saldırganlar bunları atlamanın yollarını buldu ve bu da yaygın istismara yol açtı. Huntress telemetrisi, başta tüketici ürünleri, gıda endüstrisi, kamyon taşımacılığı ve nakliye olmak üzere en az on işletmenin tehlikeye girdiğini gösteriyor.
Malichus adlı yeni bir kötü amaçlı yazılım ailesinin, Cleo dosya aktarım yazılımındaki sıfır gün güvenlik açığından yararlandığı belirlendi.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
CVE-2024-50623 olarak takip edilen bu güvenlik açığı, Cleo’nun Harmony, VLTrader ve LexiCom ürünlerini etkileyerek saldırganların uzaktan rastgele kod yürütmesine olanak tanıyor.
Malichus kötü amaçlı yazılımı 3 Aşamayı Kullanıyor
Malichus kötü amaçlı yazılımı üç farklı aşamada çalışır:
Aşama 1: PowerShell İndiricisi
İlk aşama, ana bilgisayarı daha fazla kullanıma hazırlayan küçük bir PowerShell yükleyicisini içerir. Bu yükleyici base64 blob olarak depolanır ve kodun çözülmesi üzerine cleo adlı bir Java Arşivi yürütür.[numerical-identifier]’.
İkinci aşama yükünü almak için komut ve kontrol (C2) sunucusuna TCP bağlantısı kurar.
Yükleyici ayrıca C2 adresini ve kurbanın IP adresini tanımlamak için çok önemli olan ‘Sorgu’ adı verilen bir değişkeni de ayarlar.
Aşama 2: Java İndiricisi
İkinci aşama, yük başına benzersiz bir AES anahtarı kullanarak bir Java Arşivinin indirilmesini ve şifresinin çözülmesini içerir. Bu arşiv, ‘start’ sınıfının yürütülmesini tetikleyen bir bildirim dosyası içerir.
Arka kapı “Sorgu” ortam değişkenini alır, AES anahtarını elde etmek için kodunu çözer ve bunu TLS v3 aracılığıyla üçüncü aşama yükünü indirmek için kullanır.
İndirilen verilerin şifresi daha sonra çözülür ve bozuk bir zip dosyası ortaya çıkar; bu, çıkarma ve yükleme işleminden önce ilk iki bayt kaldırılarak onarılır.
Aşama 3: Java Arka Kapısı / Kullanım Sonrası Çerçeve
Son aşama, dokuz sınıf dosyasından oluşan modüler bir Java tabanlı kullanım sonrası çerçevedir. Birincil sürücü olan ‘Cli’ sınıfı önceki aşama tarafından yüklenir.
Bu çerçeve hem Linux hem de Windows ortamlarını desteklemektedir, ancak Huntress bunun kullanımını öncelikle Windows sistemlerinde gözlemlemiştir.
C2 sunucusuyla iletişim kurmak, istismar edilen sistemi tanımlamak ve kötü amaçlı yazılımın kalıcılığını ve veri hırsızlığı faaliyetlerini yönetmek için 2. aşamadan geçirilen parametreleri kullanır.
Huntress güvenlik araştırmacıları, saldırıları ilk kez Pazartesi günü duyurdular ve güvenlik açığının, başta tüketici ürünleri, gıda endüstrisi, kamyon taşımacılığı ve nakliye sektörleri olmak üzere en az on işletmeden veri çalmak için topluca kullanıldığını belirttiler.
Saldırılar 3 Aralık gibi erken bir tarihte başladı ve 8 Aralık’ta ciddi bir artış gözlendi.
Cleo, güvenlik açığını kabul etti ve müşterileri ek saldırı vektörlerini ele almak için en son ürün sürümüne (5.8.0.21) yükseltmeye çağıran bir öneri yayınladı.
Ancak Huntress, bu yamanın bile doğada gözlemlenen istismarlara karşı yetersiz olduğunu belirtti. Cleo yeni bir CVE tanımı hazırlıyor ve hafta ortasında yeni bir yama yayınlamayı bekliyor
Rapid7, Cleo müşterilerine, etkilenen ürünleri halka açık internetten kaldırmalarını ve bunları bir güvenlik duvarının arkasına yerleştirmelerini tavsiye etti. Ayrıca Cleo’nun Otomatik Çalıştırma Dizini’nin devre dışı bırakılması, saldırı zincirinin ikinci kısmının yürütülmesini engelleyebilir.
Bu kampanya, müşteri verilerini çalmak ve fidye almak için yönetilen dosya aktarım yazılımlarını hedef alan Clop gibi kötü şöhretli grupların önceki saldırılarını yansıtıyor. İlişkilendirme belirsizliğini korusa da, yakın zamanda Blue Yonder’a düzenlenen saldırıyla tanınan Termit grubunun olaya karıştığını öne süren doğrulanmamış raporlar var.
.Cleo yazılımının aktif kullanımı, özellikle hassas verileri işleyen sektörlerde sağlam siber güvenlik önlemlerine olan kritik ihtiyacın altını çiziyor. Cleo ürünlerini kullanan şirketlerin, sistemlerini güvence altına almak için derhal harekete geçmeleri ve en az 3 Aralık 2024’e kadar uzanan herhangi bir uzlaşma belirtisini izlemeleri tavsiye ediliyor.
IOC’ler
| Dosya adı | SHA256 |
|---|---|
| cleo.2607 | 6705eea898ef1155417361fa71b1078b7aaab61e7597d2a080aa38df4ad87b1c |
| Uç | 0c57b317b572d071afd8ccdb844dd6f117e20f818c6031d7ba8adcbd32be0617 |
| Akşam | 429d24e3f30c7e999033c91f32b108db48d669fde1c3fa62eff9da2697ed078e |
| Düşme Seviyesi | f80634ce187ad4834d8f68ac7c93500d9da69ee0a7c964df1ffc8db1b6fff5a9 |
| Ay | 0b7b1b24f85a0107829781b10d08432db260421a7727230f1d3caa854370cb81 |
| İşlem | 1ba95af21bac45db43ebf02f87ecedde802c7de4d472f33e74ee0a5b5015a726 |
| SDosyası | 57ec6d8891c95a259636380f7d8b8f4f8ac209bc245d602bfa9014a4efd2c740 |
| Sc Yuvası | 87f7627e98c27620dd947e8dd60e5a124fdd3bb7c0f5957f0d8f7da6d0f90dee |
| Yuva | 1e351bb7f6e105a3eaa1a0840140ae397e0e79c2bdc69d5e1197393fbeefc29b |
| SrvSlot | f4e5a6027b25ede93b10e132d5f861ed7cca1df7e36402978936019930e52a16 |
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin