探索网络安全新技术
攀登黑客技术最高峰

勒索软件组织利用 MOVEit 0day 漏洞从数十个组织窃取数据

近期,MOVEit 0day攻击被认为与已知的勒索软件组织有关,该组织据报道已经利用这个漏洞从数十家组织中窃取数据。

勒索软件组织利用 MOVEit 0day 漏洞从数十个组织窃取数据-威武网安

Progress Software在5月31日通知客户,其MOVEit Transfer管理文件传输(MFT)软件受到关键的SQL注入漏洞的影响,黑客可以利用该漏洞来访问与该产品相关的数据库,而不需要进行身份验证。

该漏洞现在已被分配CVE标识符 CVE-2023-34362,并通过发布版本2021.0.6(13.0.6)、2021.1.4(13.1.4)、2022.0.4(14.0.4)、2022.1.5(14.1.5)和2023.0.1(15.0.1)来修复。MOVEit Cloud也受到影响,但已经部署了修复程序,用户无需采取任何措施。

多家网络安全公司报告称,已经看到了涉及MOVEit零日攻击的攻击事件,包括Huntress、Rapid7、TrustedSec、GreyNoise、Mandiant和Volexity等。

Mandiant报告称,其在5月27日看到了首次攻击事件,但威胁情报公司GreyNoise在3月初就观察到了可能与这个漏洞相关的扫描活动。
在观察到的攻击事件中,攻击者利用漏洞提供了一个WebShell/后门,允许他们窃取MOVEit Transfer客户上传的数据。

Mandiant将这次攻击归因于UNC4857,一个新的威胁群体,并将交付的WebShell命名为LemurLoot。该安全公司在美国、加拿大和印度发现了受害者,在某些情况下,数据窃取发生在WebShell部署后的几分钟内。

“这次活动和随后的数据窃取活动看似是勒索软件行为的一贯做法,这意味着受害组织可能在未来几天或几周内收到勒索邮件,”Mandiant称。

该公司发现UNC4857与之前归因于FIN11和Cl0p运营活动的一些相似之处,但表示没有足够的证据得出结论。

另一方面,微软相信Cl0p勒索软件背后的威胁行为者负责此次攻击。该科技巨头将该组织跟踪为Lace Tempest,并指出与FIN11和TA505活动的重叠。

Cl0p勒索软件组织以前曾利用Fortra的GoAnywhere MFT软件的漏洞从许多组织中窃取数据。

Shodan搜索引擎显示大约有2,500个Internet公开的MOVEit系统,主要位于美国。Censys搜索引擎发现了超过3,000个主机,包括金融、教育和政府部门。

安全研究人员Kevin Beaumont一直在监测这些攻击,他知道有“两位数字数量”的组织,包括金融公司和美国政府机构,已经被窃取了数据。

美国网络安全和基础设施安全局(CISA)已将CVE-2023-34362添加到其已知利用漏洞目录中,并指示政府机构尽快修补漏洞。

Rapid7在周末更新了其博客文章,以描述可以用于确定从MOVEit客户环境中窃取了多少数据以及数据的方法。

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《勒索软件组织利用 MOVEit 0day 漏洞从数十个组织窃取数据》
文章链接:https://www.wevul.com/1409.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册