.jpg)
MOVEit sıfır gün istismarının bilinen ilk kurbanlarının isimleri 4 Haziran’da ortaya çıkmaya başladığında, Microsoft kampanyayı “Lace Tempest” adını verdiği Cl0p fidye yazılımı ekibine bağladı. Bu, çetenin çeşitli dosya aktarım hizmetlerine karşı gerçekleştirdiği çok benzer siber saldırıların en sonuncusu.
Progress Software’in MOVEit dosya aktarım programında sıfırıncı gün güvenlik açığını duyurduğu 1 Haziran’dan bu yana, araştırmacılar ve potansiyel olarak etkilenen kuruluşlar parçaları toplamaya çalışıyor. Mandiant’tan yapılan analiz, bilgisayar korsanlarının 27 Mayıs Cumartesi günü sıfır günü istismar etmeye başladığını öne sürerken, tehdit istihbaratı firması Greynoise Mart ayı başlarında /human.aspx adresinde bulunan MOVEit Transfer giriş sayfası için tarama faaliyeti gözlemlediğini bildirdi. 3, 2023.”
Sadece son 24 saat içinde bu kampanyanın bazı önemli kurbanları gün ışığına çıkmaya başladı. Nova Scotia hükümeti şu anda vatandaşlarının verilerinin ne kadarının çalındığını ölçmeye çalışıyor ve Birleşik Krallık’taki bir maaş bordrosu şirketi olan Zellis’teki bir ihlal, BBC, Boots da dahil olmak üzere bazı yüksek profilli müşterileri için aşağı akış tavizlerine neden oldu. ve British Airways.
İlişkilendirme söz konusu olduğunda, 2 Haziran itibarıyla Mandiant, faillere, fidye yazılımı ve gasp kampanyaları ve bir Clop üyesi statüsü ile tanınan FIN11 siber suç çetesiyle potansiyel bağlantıları olan potansiyel olarak yeni bir grup olarak davranıyordu. A Pazar akşamı yayınlanan tweet Microsoft tarafından daha kesin bir sonuç sunuldu:
“Microsoft, CVE-2023-34362 MOVEit Transfer 0 günlük güvenlik açığından yararlanan saldırıları, fidye yazılımı operasyonları ve Clop şantaj sitesini çalıştırmasıyla bilinen Lace Tempest’e atfediyor. tweet okundu.
Microsoft, Dark Reading’e “Bu tehdit aktörü, yıllardır takip ettiğimiz bir kişi” dedi. “Yıllar boyunca önemli sayıda tehditten sorumlu olan iyi bilinen bir gruptur. Lace Tempest (FIN11, TA505 ile örtüşür) fidye yazılımı ve ortaya çıkan haraç ortamında baskın bir güçtür.”
Etkilenen Kuruluşlar CVE-2023-34362’ye Nasıl Yanıt Vermelidir?
Geçen hafta güvenlik açığını izleyen Huntress’in kıdemli güvenlik araştırmacısı John Hammond’a göre Microsoft’un atıfı, kurbanlar için büyük endişelere yol açıyor. “Bundan sonra ne olacağını bilmiyorum. Henüz herhangi bir fidye yazılımı talebi, gasp veya şantaj görmedik. Beklemede mi oturuyoruz yoksa bundan sonra ne olacak bilmiyorum” diye merak ediyor.
2 Haziran’da Progress Software, CVE-2023-34362 için bir yama yayınladı. Ancak, saldırganların bunu 3 Mart’ta değilse bile 27 Mayıs’ta zaten istismar ettiğini gösteren kanıtlarla, mevcut müşterilerin güvenli kabul edilmesi için yalnızca yama uygulamak yeterli değildir.
Her şeyden önce, zaten çalınmış olan herhangi bir veri sonraki saldırılarda kullanılabilir ve kullanılabilir. Microsoft’un işaret ettiği gibi, “Lace Tempest’in iki tür kurbanı olmuştur. İlki, bir Web kabuğunun düştüğü (ve keşif yapmak için potansiyel olarak etkileşimde bulunulan) kötüye kullanılan bir sunucuya sahip kurbanlardır. İkinci tür, Lace Tempest’in çaldığı kurbanlardır. veri.” Bir sonraki hamlelerinin veri hırsızlığına maruz kalmış kurbanları gasp etmek olacağını tahmin ediyoruz.”
Minimum olarak, Hammond müşterilere yalnızca yama yapmamalarını, aynı zamanda “o günlükleri gözden geçirmelerini, orada hangi eserlerin olduğunu görmelerini, diğer kancaları ve pençeleri kaldırıp kaldıramayacağınıza bakmalarını” tavsiye ediyor. Yama yapsanız bile, gidin ve Web kabuğunun kaldırıldı ve silindi. Burada gereken özen gösterilmesi gerekiyor.”
Siber Ateş Altında Dosya Aktarım Hizmetleri
Hiçbir MOVEit temizleme işlemi, son zamanlarda ortalıkta dolaşıyor gibi görünen daha derin ve altta yatan bir sorunu çözemez: Bilgisayar korsanı gruplarının dosya aktarım hizmetlerini finansal siber suçlar için bir altın madeni olarak tanımladığı açıktır.
Sadece birkaç ay önce, siber suçlular IBM’in Aspera Faspex ürününü kuşattı. Bundan bir ay önce Cl0p, Fortra’nın GoAnywhere hizmetine karşı geçen haftaki çabaya çarpıcı bir benzerlik gösteren bir kampanya yürüttü. Cl0p’nin dosya aktarım ihlallerine ilk girişi bile değildi – yıllar önce aynısını Accelion’a da yaptılar.
Hassas verileri bu hizmetlerle trafiğe çıkaran şirketlerin, giderek yaygınlaşan bir soruna daha uzun vadeli bir çözüm bulması gerekecek. Bununla birlikte, bu uzun vadeli çözümün tam olarak ne olacağı belirsizdir.
Hammond, “saldırı yüzeyinizi sınırlamaya çalışın. İhtiyacımız olmayan yazılımları veya daha iyi, daha modern bir şekilde ele alınabilecek uygulamaları azaltmak için elimizden gelen her şeyi yapın. Bunlar, bence, belki de en iyi sözler. Şu anda tavsiye dışında: yama.”