Kroll Security uzmanlarına göre, Clop fidye yazılımı çetesi 2021'den beri Moveit Transfer Yönetilen Dosya Aktarımı (MFT) çözümünde şimdi paketlenmiş sıfır gün kullanmanın yollarını arıyor.
Korunmasız hareket aktarım örneklerini hedefleyen son klop veri hırsızlığı saldırılarının araştırılması sırasında bazı müşterilerin tehlikeye atılmış ağlarında günlükleri analiz ederken, yeni keşfedilen Lemurloot web kabuğunu dağıtmak için çete tarafından kullanılan yöntemle eşleşen kötü niyetli etkinlik buldular.
"27-28 Mayıs döneminde faaliyet, sonuçta insan2.aspx web kabuğunun konuşlandırılmasına neden olan otomatik bir sömürü saldırı zinciri gibi görünüyordu. Sömürü, hareketli transferin iki meşru bileşeni arasındaki etkileşim etrafında ortalanmıştır: MoveIitIsApi/MoveIsisApi.dll ve KonukAccess.aspx, "dedi Kroll.
"Kroll'un etkilenen müşterilerin Microsoft Internet Bilgi Hizmetleri (IIS) günlüklerini incelemesi, geçen yıl (Nisan 2022) ve bazı durumlarda Temmuz 2021'de çok sayıda müşteri ortamında meydana gelen benzer etkinliklerin kanıtını buldu."
Ayrıca, tehdit aktörlerinin, muhtemelen otomatik araçların yardımıyla Nisan 2022'ye kadar uzlaşmış MoveIT aktarım sunucularından hassas verileri toplamanın ve çıkarmanın yollarını test ettiklerini keşfettiler.
"Kroll, 27 Nisan 2022'de toplu olarak meydana gelen hareketli transfer sömürüsü ile tutarlı bir etkinlik gözlemledi; 15–16, 2023; ve 22 Mayıs 2023, aktörlerin kuruluşlara erişimi olası otomatik araçlar yoluyla test ettiklerini ve hareketten geri çekildiğini gösterdi. Raporda hangi kuruluşa eriştiklerini belirlemek için sunucuları aktarın.
15 Mayıs 2023'ten başlayarak sıfır gün böcek kütlesi sömürüsünden hemen önce çok daha büyük bir ölçekte alınan otomatik kötü niyetli etkinlik 27 Mayıs'ta başlamıştır.
Bu aynı zamanda Temmuz 2021'de MoveIT transfer sunucularına karşı manuel olarak verilen benzer komutlarla eşleşti, bu da fidye yazılımı çetesinin Mayıs 2023'ün sonlarında son saldırıyı başlatacak araçlara sahip olana kadar beklediğini gösterdi.
Hafta sonu, Clop Fidye yazılımı Gang, Bleepingomputer'a, "yüzlerce şirkete" ait olduğu iddia edilen Moveit transfer sunucularını ihlal etmelerine izin veren son veri hırsızlığı saldırılarının arkasında olduklarını söyledi.
Tehdit aktörlerinin sözleri nominal değerinde alınamazken, Clop'un ifadesi, saldırıları Dantel Tempest (TA505 ve FIN11 olarak da bilinir) olarak izledikleri saldırı grubuna bağlayan bir Microsoft raporunu doğruladı.
Microsoft Tehdit İstihbarat Ekibi Pazar gecesi tweet attı "Microsoft, CVE-2023-34362 Moveit Transferi, Fidye Yazılımı İşlemleri ve Clop Gazetme Sitesini Çalıştırma ile bilinen Dantel Tempest'e 0 Günlük Güvenlik Açığı'ndan yararlanıyor."
Diyerek şöyle devam etti: "Tehdit oyuncusu, veri ve zorla kurbanları çalmak için geçmişte benzer güvenlik açıkları kullandı."
Klop siber suç grubu, Aralık 2020'de Hızlı FTA sunucularının sıfır gün sömürülmesi de dahil olmak üzere, diğer yönetilen dosya transfer platformlarını hedefleyen diğer yüksek etkili veri hırsızlığı kampanyalarının arkasındaydı, 2021 Solarwinds Serv-U yönetilen dosya transfer saldırıları, kitle sömürüsü Ocak 2023'te bir Goanywhere Mft Zero-Day.
Clop'un Moveit veri-çalı saldırıları tespit edildiğinden, sonuç olarak ihlal edilen ilk kuruluşlar da yavaş yavaş yüzeye başladı, İngiltere bordro ve İK çözümleri sağlayıcısı Zellis'in bazı müşterilerini de etkileyecek bir veri ihlali yaşadıklarını bildirdi.
Daha önce etkilendiklerini doğrulayan Zellis müşterileri arasında İrlanda bayrak taşıyıcısı Aer Lingus ve İngiltere'nin bayrak taşıyıcısı British Airways yer alıyor.
Clop, etkilenen tüm kuruluşları 14 Haziran'da altı gün içinde çevrimiçi sızdırılmasını istemiyorlarsa bir fidye uzanmaya ve müzakere etmeye tehdit etti.
Clop Fidye Yazılımı, Moveit Fasar Saldırıları için Sorumluluk İddia ediyor
Microsoft, veri-hırsızlığı saldırılarını taşımak için fidye yazılım çetesini clop clop links
Fidye Yazılımında Hafta - 9 Haziran 2023 - Bu Clop ... Yine!
Fidye Yazılımında Hafta - 2 Haziran 2023 - Whodunit?
Veri hırsızlığı saldırılarında yeni Moveit Transferi Zero-Day Mass-Massploed
Kaynak: Bleeping Computer