Clop勒索软件团伙声称,他们利用影响GoAnywhere托管文件传输(MFT)软件的远程代码执行零日漏洞(CVE-2023-0669),成功攻击了约130家组织。据报道,利用CVE-2023-0669漏洞,攻击者可以在未修补的GoAnywhere MFT实例上执行远程代码,让这些实例的管理控制台暴露在互联网上,被任意访问。
Clop告诉新闻媒体,他们在初次入侵易受CVE-2023-0669攻击的服务器后,在10天内就窃取了数据。Clop还声称已成功地在目标网络中横向移动,并部署了勒索软件有效载荷,用于加密目标系统,但他们最终决定不这样做,而是窃取了存储在受攻击的GoAnywhere MFT服务器上的文档。
报道称,当被问及何时发起袭击、是否开始勒索受害者以及索要多少赎金时,他们拒绝提供证据或分享其他细节。媒体表示无法独立证实Clop提出的索赔,GoAnywhere MFT的开发商Fortra尚未回复有关CVE-2023-0669被利用或关于Clop指控的更多信息。
然而,塞讯安全实验室研究发现,GoAnywhere MFT攻击与TA505威胁组织有关,该组织过去曾被发现部署Clop勒索软件。
虽然链接不是权威的,但对Truebot的攻击活动和部署机制的分析表明链接到一个叫做TA505的团伙。勒索软件系列的分销商被称为Clop,各种报告将Silence/Truebot的攻击活动与TA505操作联系起来。根据观察到的行动和以前的报告,我们可以得出结论,目前观察到的攻击活动旨在部署勒索软件,而GoAnywhere MFT也存在潜在机会被额外利用,这也是出于同样的目的。
CVE-2023-0669的利用无需任何权限,可通过远程代码执行,因此已被评为高风险。代码是公开的,并且有证据表明在野外进行了利用。Fortra发布了一个修复程序,据报道已解决了这个问题,建议立即修补。
我们怀疑Clop勒索软件和“CL0P^_-LEAKS”数据泄露网站(DLS)是FIN11的专属网站。尽管该威胁集团历史上曾进行过广泛的网络钓鱼活动,但近年来,FIN11通过利用最近公开的面向公众的服务器中的漏洞,转向了获取访问权限。
正如媒体所报道的,最近的这一攻击活动让人想起2020年末至2021年初的攻击活动,在这一攻击活动中,攻击团伙利用Accellion遗留文件传输设备(FTA)中的多个零日漏洞来安装DEWMODE web shell,该web shell随后用于过滤发布到CL0P^_-LEAKS DLS的数据。
虽然目前将这一攻击活动归属于APT-U2546和 APT-U2582,但这些威胁事件与FIN11之间存在着明显的交集。
访问安全的文件传输工具,包括Accelion遗留的FTA和GoAnywhere MFT实例,可能对进行数据盗窃勒索操作的攻击者特别有吸引力,因为他们可以在过滤敏感文件的同时仅在受害者网络上占据少量空间。
尽管我们的安全研究人员认为最近针对GoAnywhere实例的攻击活动旨在支持勒索软件部署,但先前的攻击活动表明,攻击者更有可能在没有部署勒索软件的情况下进行数据盗窃勒索。
塞讯安全度量验证平台已将此技术纳入模拟攻击库,在平台内搜索“clop”/“FIN11”即可获得相关攻击模拟实验,从而验证安全防御体系是否能够有效应对这一攻击手段。