大大小小的组织都成为一个广泛使用的文件传输程序中的一个关键漏洞的大规模利用的牺牲品。利用开始在阵亡将士纪念日假期-而关键漏洞仍然是一个Memorial Day并继续到现在,大约九天后。
截至周一晚间,薪资服务公司Zellis、加拿大新斯科舍省、英国航空公司(British Airways)、BBC(BBC)和英国零售商Boots都已知有数据在此次攻击中被盗。MOVEit是一家提供云和本地服务的文件传输提供商,最近修补的一个漏洞助长了此次攻击。新斯科舍省和Zellis都有自己的实例或云服务被攻破。英国航空公司、BBC和博姿公司都是Zellis的客户。所有的黑客活动都归咎于讲俄语的Clop犯罪集团。
广泛且相当可观
尽管被证实的违规事件数量相对较少,但监测持续攻击的研究人员称,这种开采行为十分普遍。他们将这些黑客行为比作敲打抢劫案,其中一扇窗户被打破,小偷们尽可能地抢夺,并警告说,这些快速行动的抢劫案正以惊人的数量袭击银行、政府机构和其他目标。
安全公司Volexity总裁史蒂文·阿代尔(Steven Adair)在一封电子邮件中写道:“我们有少数客户在运行向互联网开放的MOVEit传输,他们都受到了损害。”“与我们交谈过的其他人也看到了类似的情况。”
Adair继续说:“我不想在这一点上对我们的客户进行分类,因为我不知道是谁在运行这个软件,并把他们送出去。话虽如此,但受到打击的是规模庞大和规模小的组织。我们所调查的案件都涉及某种程度的数据排除。攻击者通常在攻击和shell访问后不到两个小时就从MOVEit服务器抓取文件。我们认为这可能是广泛存在的,而且相当多的运行面向互联网的网络服务的MOVEit传输服务器受到了损害。”
负责安全公司Rapid7研究部门的安全研究高级经理凯特琳·康登(Caitlin Condon)说,她的团队通常将“广泛威胁”一词用于涉及“多个攻击者、多个目标”的事件。“正在进行的攻击两者都没有。目前已知的攻击者只有一个Clop,这是一个讲俄语的组织,是最多产和最活跃的勒索软件参与者之一。当攻击开始时,Shodan搜索引擎只索引了2510个面向互联网的MOVEit实例,相对而言,可以说并没有“很多目标”。
然而,在这种情况下,Rapid 7是一个例外。
她在一条短信中解释道:“我们没有看到大宗商品威胁的参与者或低技能的攻击者在这里散布漏洞,而是利用全球范围广泛的高价值目标,包括组织规模、垂直位置和地理位置,为我们将其归类为一种广泛的威胁提供了尺度。”
她指出,自这起事件广为人知以来,周一只是第三个营业日,许多受害者可能现在才意识到自己受到了损害。她写道:“随着时间的推移,我们希望看到更长的受害者名单出来,特别是在报告的监管要求发挥作用的情况下。”
与此同时,独立研究员凯文·博蒙特(Kevin Beaumont)周日晚间在社交媒体上表示:“我一直在追踪这个问题–有两位数的orgs被窃取数据,其中包括多个美国政府和银行机构。”
MOVEit漏洞源于一个安全漏洞,该漏洞允许进行SQL注入,这是最古老和最常见的攻击类型之一。这些漏洞通常缩写为SQLi,通常源于Web应用程序未能充分清除搜索查询和应用程序可能考虑的命令的其他用户输入的字符。通过在易受攻击的网站字段中输入巧尽心思构建的字符串,攻击者可以欺骗Web应用程序返回机密数据、授予管理系统权限或颠覆应用程序的工作方式。
时间轴
根据安全公司Mandiant周一发布的一篇文章,Clop的第一个迹象发生在5月27日。在某些情况下,数据盗窃发生在安装一个自定义webshell跟踪为LemurLoot的几分钟内,研究人员说。他们又说:“Mandiant了解到多起从受害者的MOVEit传输系统中窃取大量文件的案件。LEMURLOOT还可以窃取Azure Storage Blob信息,包括凭据,从MOVEit传输应用程序设置,这表明利用此漏洞的演员可能是从Azure窃取文件的情况下,受害者存储在Azure Blob存储设备数据,虽然目前还不清楚是否盗窃仅限于以这种方式存储的数据。”
为了伪装成一个合法的MOVEit Transfer服务组件human.aspx,webshell被伪装成文件名,比如“human2.aspx”和“human2.aspx.ln k”。Mandiant还表示,它已经“观察到在与LEMURLOOT webshell交互之前,对合法的guestaccess.aspx文件的几个POST请求,这表明SQLi攻击是针对该文件的。”
5月31日,在最早的攻击开始四天后,MOVEit提供商Progress修补了该漏洞。一天之内,社交媒体上的帖子浮出水面,报道该漏洞正在被一个威胁行为者利用,该行为者正在漏洞服务器的根目录中安装一个名为human2.aspx的文件。安全公司很快证实了这一报道。
在这篇报道发表后,MOVEit官员发表声明称,漏洞一经发现,公司立即展开调查,并提醒客户,告知他们可以采取的缓解措施。在接下来的48小时内,公司工程师禁用了对MOVEit云服务的Web访问,开发了一个安全补丁,并将其提供给客户,并将其应用到云施中。
声明继续说:“我们将继续与业界领先的网络安全专家合作,调查这一问题,并确保我们采取一切适当的应对措施。”“我们与联邦执法部门和其他机构就这一漏洞展开了接触。我们还致力于在全行业的努力中发挥主导和协作作用,打击日益复杂和持续的网络犯罪分子,他们意图恶意利用广泛使用的软件产品中的漏洞。我们的MOVEit Transfer和MOVEit Cloud知识库文章提供了更多细节。”
周日,克洛普发起攻击的正式原因来自微软(Microsoft)。微软将这些攻击与“花边风暴”(Lace Tempest)联系在一起。该公司的研究人员使用“蕾丝·泰普斯特”(Lace Tempest)这个名称来追踪一家负责维护克洛普赎金软件集团敲诈网站的赎金业务。与此同时,Mandiant发现,攻击中使用的战术、技术和程序与追踪到的FIN 11组相匹配,FIN 11过去曾部署过Clop Ransomware。
Clop也是大规模利用CVE-2023-0669的威胁参与者,这是另一个名为GoAnywhere的文件传输服务中的一个关键漏洞。这种黑客行为使Clop得以降至数据安全公司Rubrik,从最大的连锁医院之一获得100万名患者的健康信息,并(根据BailingComputer的数据)为130个组织进行黑客攻击。安全公司亨特的研究也证实,利用CVE-2023-0669进行入侵时使用的恶意软件与Clop有间接关系。
到目前为止,还没有关于受害者收到赎金要求的报告。到目前为止,克洛普勒索网站也没有提到这些袭击事件。曼迪安特的研究人员写道:“如果这次行动的目标是敲诈勒索,我们预计受害者组织可能在未来几天到几周内收到敲诈邮件。”