TA505 ve FIN11 gibi izlenen Clop Ransomware çetesi, kurumsal ağları ihlal etmek ve sonuçta cihazlarını şifrelemek için Solarwinds serv-u güvenlik açığını kullanıyor.
CVE-2021-35211 olarak izlenen SERV-U Yönetilen Dosya Aktarımı ve Serv-U Secure FTP Uzaktan Kod yürütme güvenlik açığı, uzak bir tehdit aktörünün, korunmasız bir sunucudaki komutları yükseltilmiş ayrıcalıklarla çalıştırmasını sağlar.
Solarwinds, 2021 Temmuz'da, saldırılarda sömüren "tek bir tehdit aktörünü" keşfettikten sonra Temmuz 2021'de acil durum güvenlik güncelleştirmesi yayınladı.
Şirket ayrıca bu güvenlik açığının, yalnızca FTP sunucusuna bağlantıları daha fazla korumak için yaygın olarak kullanılan SSH özelliğini etkinleştiren müşterileri etkilemektedir.
NCC grubu tarafından yeni bir rapora göre, son birkaç haftada Clop Ransomware enfeksiyonlarında bir takviye oldu, çoğu CVE-2021-35211'in sömürüsüyle başlıyor.
Klop çetesinin, saldırılarında sıfır gün saldırıları gibi saldırılarında güvenlik açıkları kullandığı bilinirken, araştırmacılar TA505'in, ağları ihlal etmek için kötü amaçlı ekleri olan kimlik avı e-postaları daha yaygın olarak kullandığını belirtiyor.
NCC tarafından tespit edilen yeni saldırılarda, tehdit aktörleri, saldırganlar tarafından kontrol edilen bir alt işlemi ortaya çıkarmak için serv-u'yu kullanır, böylece hedef sisteme komutları çalıştırmalarını sağlar.
Bu, kötü amaçlı yazılım dağıtımı, ağ keşifleri ve yanal hareketin yolunu açar, esasen bir fidye yazılımı saldırısına zemin döşenir.
Bu kusurun sömürülmesinin karakteristik bir işareti, güvenlik açığının sömürüldüğü zaman, hizmetin kullanım kaydındaki istisna hatalarıdır.
Günlüklerde gösterilen istisna hatası aşağıdaki dizeye benzer olacaktır:
Başka bir sömürü işareti, savunmasız sistemin üzerinde bir kobalt vuruşu işaretini dağıtmak için kullanılan PowerShell komutunun izleridir.
Kalıcılık için, aktörler düzenli olarak kayıt defteri kovanlarını yedeklemek ve ilişkili com işleyicisini 'Flawedgrace faresini' yüklemek için kullanılan meşru planlanmış bir görevi kaçır.
Flawedgrace, TA505'in en azından Kasım 2017'den bu yana kullandığı bir araçtır ve Grup'un Arsenalinin güvenilir bir parçası olmaya devam ediyor.
NCC Group, ödün vermeyen sistem yöneticileri için aşağıdaki kullanışlı kontrol listesini gönderdi:
Güvenlik güncellemesini uygulamak için sayısız uyarıya rağmen, birçok savunmasız hizmet sunucusu kamuya açık kalmaktadır.
Amerika Birleşik Devletleri ikinci sırada iken, en savunmasız hizmet FTP örnekleri Çin'de yer almaktadır.
Solarwinds bu güvenlik açığı için güvenlik güncelleştirmesini piyasaya sürdüğünden neredeyse dört ay geçti, ancak potansiyel olarak savunmasız hizmet sunucusunun yüzdesi% 60'ın üzerinde kalır.
"Temmuz, 5945 (~% 94), 22 numaralı bağlantı noktasında tanımlanan tüm serv-u (~ 94) FTP hizmetlerinin potansiyel olarak savunmasızdı. Solarwinds yamalarını serbest bıraktıktan üç ay sonra, potansiyel olarak savunmasız sunucuların sayısı 2784'te hala önemlidir. (% 66.5), "Araştırmacıları raporlarında uyar.
Operasyon Cyclone Fırsatları Plop Ransomware işlemine darbe
Microsoft Exchange ProxyShell Babuk Ransomware'i dağıtmak için kullanılan kullanımı
Ukrayna Clop Ransomware Gang üyelerini tutukladı, sunucuları ele geçirdi
Ransomware'deki hafta - 24 Eylül 2021 - Crypto Hedefleme
Microsoft: Windows MSHTML hatası şimdi fidyeware çeteleri tarafından sömürülen
Kaynak: Bleeping Computer