13/02/23
Банда вымогателей Clop заявила, что украла данные более 130 организаций по всему миру, используя уязвимость нулевого дня в инструменте безопасной передачи файлов GoAnywhere MFT.
Уязвимость CVE-2023-0669 позволяет хакеру удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.
По словам группы Clop, они украли данные в течение 10 дней после взлома уязвимых серверов. Они также утверждали, что могут перемещаться по сетям своих жертв и развертывать полезную нагрузку программ-вымогателей для шифрования систем, но отказались от этого и украли только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT.
Банда отказалась предоставить доказательства или поделиться дополнительной информацией относительно своих заявлений.
Менеджер Huntress Threat Intelligence Джо Словик связал атаки GoAnywhere MFT с TA505, группой угроз, известной тем, что в прошлом развертывала программу-вымогатель Clop, при расследовании атаки, в которой был развернут загрузчик вредоносных программ TrueBot.
«Хотя ссылки не являются достоверными, анализ активности Truebot и механизмов развертывания указывает на TA505. Отчеты различных организаций связывают активность Silence/Truebot с операциями TA505», — сказал Словик.
«Основываясь на наблюдаемых действиях и предыдущих отчетах, мы можем заключить, что активность, которую наблюдала Huntress, была направлена на развертывание программы-вымогателя с дополнительной эксплуатацией GoAnywhere MFT».
GoAnywhere MFT — это продукт для управления процессами передачи файлов, обеспечивающий автоматизацию и безопасность при использовании в организациях. Данный веб-инструмент используется десятками крупных компаний и учебных заведений США.
Эксперт по безопасности Кевин Бомонт поделился результатами поиска на платформе Shodan: было выявлено свыше 1000 уязвимых экземпляров административных консолей, доступ к которым можно было получить из Интернета.
На прошлой неделе Fortra сообщила свои клиентам, что уязвимость существует и активно используется в хакерских атаках, напоминает Securitylab. Fortra предоставила индикаторы компрометации для потенциально затронутых клиентов, включая конкретную трассировку стека, которая будет отображаться в журналах на скомпрометированных системах. После этого компания выпустила экстренное обновление с исправлением ошибки.
