Clop勒索软件团伙声称:使用GoAnywhere零日漏洞闯入了130家组织
2023-2-15 12:0:0 Author: www.4hou.com(查看原文) 阅读量:22 收藏

导语:Clop勒索软件团伙近日声称自己策划了最近利用GoAnywhere MFT安全文件传输工具的一个零日漏洞的攻击,表示已从130多家组织窃取了数据。

0.png

Clop勒索软件团伙近日声称自己策划了最近利用GoAnywhere MFT安全文件传输工具的一个零日漏洞的攻击,表示已从130多家组织窃取了数据。

该安全漏洞现在被编号为CVE-2023-0669,使攻击者能够在未打补丁的GoAnywhere MFT实例上获得远程执行代码的权限,管理控制台暴露在互联网上,谁都可以访问。

Clop团伙联系上安全外媒BleepingComputer,表示他们在闯入易受该漏洞攻击的服务器后,在十天内就窃取到了数据。

他们还声称,可以通过受害者的网络横向移动,并部署勒索软件攻击载荷来加密系统,但他们决定不这么做,只是窃取了存储在受攻击的GoAnywhere MFT服务器上的文件。

当BleepingComputer询问攻击何时开始、是否已经开始勒索受害者以及索要的赎金金额等问题时,该团伙拒绝提供证据,也拒绝透露相关方面的更多细节。

BleepingComputer无法独立证实Clop的说法,GoAnywhere MFT的开发商Fortra(前身为HelpSystems)也没有回复有关CVE-2023-0669被利用的详情和勒索软件团伙说法是否属实的电子邮件。

然而,Huntress威胁情报经理Joe Slowik在调查部署了TrueBot恶意软件下载器的一起攻击时,认为GoAnywhere MFT攻击与TA505有关联,这个威胁团伙在过去以部署Clop勒索软件而出名。

Slowik表示:“虽然这种关联并未得到权威部门的证实,但分析Truebot活动和部署机制后发现,与一个名为TA505的团伙有关。来家多家公司的报告表明Silence/Truebot活动与TA505团伙有关。”

“从观察到的行为和之前的报告来看,我们可以比较有把握地得出结论,即Huntress观察到的活动旨在部署勒索软件,可能会有另外伺机利用GoAnywhere MFT的活动出现,以达到同样的目的。”

安全文件传输工具中被肆意利用的漏洞

Fortra上周向客户披露,这个名为zero-day的漏洞正在被大肆利用。

周一,概念验证(PoC)漏洞利用代码也在网上发布了,允许未经身份验证即可在易受攻击的服务器上远程执行代码。

该公司次日发布了紧急安全更新,以便客户保护服务器远离攻击活动。

自那以后,Fortra周四在其支持网站上发布了另一个更新(只有使用用户帐户登录后才能访问),声称一些MFTaaS实例也在攻击中遭殃了。

Fortra表示:“我们已经查明,未经授权的攻击者通过一个以前未知的漏洞访问了系统,并创建了未经授权的用户帐户。”

“为了解决这个问题,并且出于谨慎的考虑,我们已暂时中断了服务。随着在每个环境采取并验证缓解措施,客户的服务继续逐一恢复。我们正与客户直接合作,评估他们各自的潜在影响,采取缓解措施,并恢复系统。”

周五CISA也将CVE-2023-0669 GoAnywhere MFT漏洞添加到了其 已知被利用漏洞目录中,命令联邦机构在未来三周内(直至3月3日)给系统打上补丁。

虽然Shodan显示网上暴露的GoAnywhere实例超过1000个,但只有135个启用端口8000和8001(易受攻击的管理控制台使用这两个端口)。

1.jpg

图1. 暴露在互联网上的GoAnywhere MFT设备(图片来源:Shodan)

Clop发动的Accellion勒索攻击

Clop据称使用GoAnywhere MFT零日漏洞来窃取数据,这一招与他们在2020年12月使用的那一招非常相似,当时他们发现并利用了Accellion FTA零日漏洞,最后窃取了大约100家公司的数据。

当时这些公司收到了电子邮件,要求它们支付1000万美元赎金,以免数据被公开泄露。

在2020年的Accellion攻击中,Clop的运营团伙使用Accellion的老式文件传输设备(FTA)从多家知名公司窃取了大量数据。

服务器被Clop攻击的组织包括:能源巨头壳牌、超市巨头克罗格、网络安全公司Qualys,以及全球多所知名大学,比如斯坦福医学院、科罗拉多大学、迈阿密大学、马里兰大学巴尔的摩分校(UMB)和加州大学。

2021年6月,国际执法部门展开了一场代号为“旋风行动”的抓捕行动,为Clop勒索软件团伙提供服务的六名洗钱犯在乌克兰被捕,Clop的一些基础设施被关掉。

至少自2019年以来,该团伙还与全球多起勒索软件攻击有关。服务器被Clop加密的一些受害者包括马斯特里赫特大学、Software AG IT、ExecuPharm和Indiabulls。

本文翻译自:https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/LBjA
如有侵权请联系:admin#unsafe.sh