Mandiant, Cleo dosya aktarımı istismarlarının izini Ekim ayına kadar sürüyor

   Aralık 19, 2024  Posted in CyberSecurityDive


Dalış Özeti:

  • Araştırmacılar, Cleo dosya aktarım yazılımındaki kritik bir güvenlik açığından yararlanıldığını Ekim ayına kadar takip etti. Mandiant Consulting CTO’su Charles Carmakal bir LinkedIn gönderisinde söyledi Çarşamba. Mandiant’ın keşfi, aktif sömürünün diğer araştırmacılar tarafından daha önce gözlemlenenden en az bir ay daha erkene alındığını gösteriyor.
  • Mandiant, iki güvenlik açığından aktif olarak yararlanan kümeyi tanımlar, CVE-2024-50623 Ve CVE-2024-55956UNC5936 olarak. Araştırmacılar, kümenin, bu ayın başındaki saldırıların sorumluluğunu üstlenen, Clop olarak da bilinen FIN11 ile örtüştüğünü söylüyor.
  • Carmakal, tehdit grubunun önceki kampanyalarında gözlemlenen toplu veri hırsızlığına ilişkin şu anda bir kanıt bulunmadığını söyledi. Ancak, Beacon ve Goldtomb gibi kötü amaçlı arka kapılar, istismar edilen sistemlere yerleştirildi.

Dalış Bilgisi:

Huntress, Rapid7 ve diğer firmalardaki araştırmacılar Cleo Harmony, VLTrader ve Lexicom’daki güvenlik açıklarından aktif olarak yararlanıldığı daha önce doğrulanmıştı. Huntress başlangıçta, sınırsız dosya yükleme ve indirme güvenlik açığı olan CVE-2024-50623 yamasının yeterli koruma sağlamadığı ve dışarıdaki saldırganlar tarafından atlanabileceği konusunda uyardı.

Kimliği doğrulanmamış kullanıcıların rastgele bash veya PowerShell komutlarını yüklemesine ve yürütmesine olanak tanıyan ikinci güvenlik açığı CVE-2024-55956 daha sonra tanımlandı ve yama uygulandı. A Geçen hafta sonlarında güvenlik açığına CVE numarası atandı.

Siber Güvenlik ve Altyapı Güvenliği Ajansı CVE-2024-55956 eklendi Salı günü bilinen istismar edilen güvenlik açıkları kataloğunu inceledi ve fidye yazılımı kampanyalarında kullanıldığını belirtti.

Censys’ten araştırmacılar yaklaşık 1.440 savunmasız örnek gözlemlendi Harmony, VLTrader ve Lexicom online’ın %63’ü ABD’de bulunuyor. Yaklaşık 1.011 ana bilgisayarın, CVE-2024-55956 yoluyla istismar edilme riski taşıyan, yama yapılmamış 5.8.0.24 sürümünü çalıştırdığı görüldü.

Carmakal, tehdit grubunun kurbanları daha da tehlikeye atmak ve fidye yazılımı dağıtmak için konuşlandırılan arka kapılardan yararlanabileceğini ancak şu ana kadar bunun gözlemlenmediğini söyledi.

Tehdit grubu son yıllarda çok sayıda istismar kampanyasıyla ilişkilendirildi. 2021’de Accellion FTA’sı2021’de SolarWinds Serv-U, 2023’te Fortra GoAnywhere Ve Progress Software’in MOVEit’i 2023’te.

Cleo yetkilileri yorum yapmak için hemen müsait değildi.



Source link