Ngày 20 tháng 4 năm 2023Ravie LakshmananRansomware / Tấn công mạng
Fortra, công ty đứng sau Cobalt Strike, đã làm sáng tỏ lỗ hổng thực thi mã từ xa (RCE) trong công cụ GoAnywhere MFT của mình. Lỗ hổng này đã bị các phần tử ransomware tích cực khai thác để đánh cắp dữ liệu nhạy cảm.
Lỗ hổng nghiêm trọng cao, được theo dõi là CVE-2023-0669 (điểm CVSS: 7,2), liên quan đến trường hợp tiêm lệnh được xác thực trước có thể bị lạm dụng để thực thi mã. Sự cố đã được công ty vá trong phiên bản 7.1.2 của phần mềm vào tháng 2 năm 2023, nhưng không phải trước khi nó được vũ khí hóa dưới dạng zero-day kể từ ngày 18 tháng 1.
Fortra, đơn vị đã làm việc với Đơn vị 42 của palo alto networks, cho biết họ đã nhận thấy hoạt động đáng ngờ liên quan đến một số trường hợp truyền tệp vào ngày 30 tháng 1 năm 2023.
Công ty cho biết: “Bên trái phép đã sử dụng CVE-2023-0669 để tạo tài khoản người dùng trái phép trong một số môi trường khách hàng MFTaaS”. “Đối với một nhóm nhỏ những khách hàng này, bên trái phép đã tận dụng các tài khoản người dùng này để tải xuống các tệp từ môi trường MFTaaS được lưu trữ của họ.”
Kẻ đe dọa tiếp tục lạm dụng lỗ hổng để triển khai hai công cụ bổ sung, có tên là “Netcat” và “Errors.jsp”, trong khoảng thời gian từ ngày 28 tháng 1 năm 2023 đến ngày 31 tháng 1 năm 2023, mặc dù không phải mọi nỗ lực cài đặt đều thành công.
Fortra cho biết họ đã liên hệ trực tiếp với những khách hàng bị ảnh hưởng và họ không tìm thấy bất kỳ dấu hiệu nào về việc truy cập trái phép vào hệ thống của khách hàng đã được cung cấp lại một “môi trường MFTaaS sạch sẽ và an toàn”.
Mặc dù Netcat là một chương trình hợp pháp để quản lý việc đọc và ghi dữ liệu qua mạng, nhưng hiện vẫn chưa biết tệp JSP đã được sử dụng như thế nào trong các cuộc tấn công.
Cuộc điều tra cũng phát hiện ra rằng CVE-2023-0669 đã bị khai thác đối với một số lượng nhỏ các triển khai tại chỗ đang chạy một cấu hình cụ thể của giải pháp GoAnywhere MFT.
Để giảm thiểu, công ty khuyến nghị người dùng xoay Khóa mã hóa chính, đặt lại tất cả thông tin đăng nhập, xem lại nhật ký kiểm tra và xóa mọi tài khoản người dùng hoặc quản trị viên đáng ngờ.
Sự phát triển diễn ra khi Malwarebytes và NCC Group báo cáo sự gia tăng đột biến trong các cuộc tấn công ransomware trong tháng 3, chủ yếu là do hoạt động khai thác tích cực lỗ hổng GoAnywhere MFT.
Tổng cộng có 459 vụ tấn công được ghi nhận chỉ trong tháng trước, tăng 91% so với tháng 2 năm 2023 và tăng 62% so với tháng 3 năm 2022.
“Nhà cung cấp ransomware-as-a-service (RaaS), Cl0p, đã khai thác thành công lỗ hổng GoAnywhere và là tác nhân đe dọa tích cực nhất được quan sát, với tổng số 129 nạn nhân,” NCC Group cho biết.
Cơn lốc khai thác của Cl0p đánh dấu lần thứ hai LockBit bị đánh bật khỏi vị trí dẫn đầu kể từ tháng 9 năm 2021. Các chủng ransomware phổ biến khác bao gồm Royal, BlackCat, Play, Black Basta và BianLian.
Điều đáng chú ý là các tác nhân Cl0p trước đây đã khai thác lỗ hổng zero-day trong Công cụ truyền tệp Accellion (FTA) để vi phạm một số mục tiêu vào năm 2021.
