Microsoft и SysAid нашли уязвимость вредоносного ПО Clop

8 ноября SysAid, израильская компания-разработчик программного обеспечения для управления ИТ-услугами, сообщила о потенциально используемой уязвимости нулевого дня в своем локальном программном обеспечении. Пользователям локальных серверов было предложено запустить версию 23.3.36, содержащую исправления. Служба Microsoft Threat Intelligence проанализировала угрозу и обнаружила, что ей воспользовался Lace Tempest.

Уязвимостью воспользовалась группа угроз Lace Tempest, распространяющая вредоносное ПО Clop, сообщила 8 ноября Microsoft Threat Intelligence на X (ранее Twitter). Эксперты по безопасности Microsoft, в частности, написали: «…Lace Tempest, скорее всего, будет использовать свой доступ для кражи данных и развертывания программы-вымогателя Clop».

Конечной целью подобных атак часто является горизонтальное перемещение по системе, кража данных и программы-вымогатели.

Перейти к:

Profero диагностировал, а SysAid исправил программу-вымогатель Как защититься от этой уязвимости Clop Вредоносное ПО Clop использовалось в громких выкупах

Profero диагностировал, а SysAid исправил программу-вымогатель

Обнаружив 2 ноября потенциальную уязвимость, SysAid обратилась в израильскую компанию быстрого реагирования на инциденты Profero, которая выяснила подробности уязвимости. Проферо обнаружил, что злоумышленник использовал уязвимость обхода пути для загрузки архива WAR, содержащего WebShell и другие полезные данные, в корневой каталог веб-сервиса SysAid Tomcat. После этого компания Lace Tempest предоставила загрузчик вредоносного ПО Gracewire.

Эта уязвимость была зарегистрирована MITRE как CVE-2023-47246.

Как защититься от этой уязвимости Clop

SysAid предоставил список индикаторов компрометации и шагов, которые необходимо предпринять в своем блоге об этой уязвимости. Чтобы защитить вашу организацию от этого вредоносного ПО, SysAid подчеркнула важность загрузки исправления. Организациям следует проверить, какая информация, хранящаяся на их сервере SysAid, может быть интересна злоумышленникам, и проверить журналы активности на предмет несанкционированного поведения. Другие рекомендуемые действия включают обновление систем SysAid и проведение тщательной оценки компрометации вашего сервера SysAid.

Вредоносное ПО Clop использовалось в громких выкупах

Программа-вымогатель Clop, доставленная злоумышленниками в локальное программное обеспечение SysAid через уязвимость обхода пути, впервые появилась в 2019 году. Вредоносная программа Clop связана с связанной с Россией группой субъектов-угроз, известной под тем же названием, которая, по словам Microsoft, «перекрывается» с Lace Tempest. . В июне 2023 года Microsoft обнаружила, что Lace Tempest управляет сайтом-вымогателем, использующим вредоносное ПО Clop.

SEE: Как будет выглядеть кибербезопасность в следующем году? Тенденции кибербезопасности Google Cloud, за которыми стоит следить в 2024 году, включают генеративные атаки на основе искусственного интеллекта (TechRepublic)

Группа вымогателей Clop взяла на себя ответственность за несколько крупных атак в 2023 году. В июне они угрожали раскрыть данные British Airways, BBC и британского ритейлера Boots. Они также предположительно стояли за июньской атакой программы-вымогателя MOVEit Transfer.