Picus Security paljastaa CL0P-kiristysohjelman hyökkäystaktiikat MOVEit-haavoittuvuudessa

Kyberturvallisuusyritys Picus Security on julkaissut yksityiskohtaisen analyysin CVE-2023-34362-haavoittuvuudesta, jota CL0P-kiristysohjelmaryhmä on aktiivisesti hyödyntänyt. Tämä kriittinen SQL-injektiovirhe MOVEit Transfer -tiedostonsiirto-ohjelmistossa mahdollistaa hyökkääjille arkaluonteisten tietojen exfiltroinnin ja etäkoodin suorittamisen kohdejärjestelmissä.

MOVEit Transfer on Progress Softwaren kehittämä ratkaisu, jota laajat organisaatiot, mukaan lukien Yhdysvaltain julkishallinto ja finanssilaitokset, käyttävät turvalliseen tiedostojen siirtoon. Haavoittuvuuden CVE-2023-34362 tietoturvatiedote julkaistiin kesäkuussa 2023, mutta sen todellinen hyödyntäminen alkoi jo toukokuun lopulla. Arviolta yli 2500 MOVEit-palvelinta on ollut alttiina internetissä, ja suuri osa niistä sijaitsee Yhdysvalloissa. Kuuluisien organisaatioiden, kuten BBC:n ja British Airwaysin, on raportoitu joutuneen hyökkäysten kohteeksi.

Picus Securityn analyysin mukaan CL0P-ryhmä käyttää haavoittuvuutta hyväkseen asentamalla LEMURLOOT-nimisen web-shellin, joka mahdollistaa pysyvyyden uhrien järjestelmissä. Tämä haittaohjelma, kirjoitettu C#-kielellä, vaatii salasanoja, jotka hyökkääjät lähettävät räätälöidyssä header-tiedossa. Onnistuneen todennuksen jälkeen hyökkääjät voivat ladata arkaluonteisia tiedostoja uhrien MOVEit Transfer -ympäristöstä.

CL0P-kiristysohjelma on tunnettu kaksoisutkistusmenetelmästään, jossa tietoja varastetaan ennen niiden salausta. Ryhmä on aiemmin toiminut osana TA505-laajuisia tietojenkalastuskampanjoita. Vaikka epäiltyjä CL0P-ryhmän jäseniä on pidätetty, sen jatkuva toiminta korostaa tietoturvauhka-analyysin merkitystä.

Picus Security tarjoaa työkaluja, joiden avulla organisaatiot voivat simuloida realistisia hyökkäysskenaarioita, kuten CL0P-kiristysohjelman käyttämiä taktiikoita, testatakseen ja parantaakseen puolustusmekanismejaan.