Банда Clop использует уязвимость SolarWinds Serv-U в атаках программ-вымогателей

24
Windows 11 снова взломана на Pwn2Own, Telsa Model 3 также падает

Банда вымогателей Clop, также известная как TA505 и FIN11, использует уязвимость SolarWinds Serv-U для взлома корпоративных сетей и, в конечном итоге, шифрования своих устройств.

Уязвимость Serv-U Managed File Transfer и Serv-U Secure FTP для удаленного выполнения кода, отслеживаемая как CVE-2021-35211, позволяет удаленному злоумышленнику выполнять команды на уязвимом сервере с повышенными привилегиями.

SolarWinds выпустила экстренное обновление безопасности в июле 2021 года после обнаружения «единственного злоумышленника », использующего его в атаках.

Компания также предупредила, что эта уязвимость затрагивает только клиентов, включивших функцию SSH, которая обычно используется для дополнительной защиты подключений к FTP-серверу.

Уязвимость, используемая в атаках программ-вымогателей

Согласно новому отчету NCC Group, за последние пару недель наблюдался всплеск заражения программами-вымогателями Clop, причем большинство из них начиналось с эксплуатации CVE-2021-35211.

Хотя известно, что банда Clop использует уязвимости в своих атаках, таких как атаки нулевого дня Accellion , исследователи заявляют, что TA505 чаще использует фишинговые электронные письма с вредоносными вложениями для взлома сетей.

В новых атаках, обнаруженных NCC, злоумышленники используют Serv-U для запуска подпроцесса, контролируемого злоумышленниками, что позволяет им запускать команды в целевой системе.

Это открывает путь для развертывания вредоносных программ, сетевой разведки и горизонтального перемещения, по сути, закладывая основу для атаки программ-вымогателей.

Характерным признаком использования этой уязвимости являются ошибки исключения в журналах Serv-U, возникающие при эксплуатации уязвимости.

Ошибка исключения, отображаемая в журналах, будет похожа на следующую строку:

‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’

Еще одним признаком эксплуатации являются следы выполнения команды PowerShell, которая используется для развертывания маяка Cobalt Strike в уязвимой системе.

Для обеспечения устойчивости субъекты перехватывают законную запланированную задачу, которая используется для регулярного резервного копирования кустов реестра, и злоупотребляют соответствующим обработчиком COM для загрузки « FlawedGrace RAT» .

FlawedGrace — это инструмент, который TA505 использует как минимум с ноября 2017 года, и он остается надежной частью арсенала группы.

NCC Group опубликовала следующий удобный контрольный список для системных администраторов, подозревающих компрометацию:

  • Проверьте, уязвима ли ваша версия Serv-U
  • Найдите DebugSocketlog.txt Serv-U
  • Найдите такие записи, как «ИСКЛЮЧЕНИЕ: C0000005; CSUSSHSocket :: ProcessReceive (); ‘ в этом файле журнала
  • Проверьте событие с кодом 4104 в журналах событий Windows, указав дату и время исключения, и найдите подозрительные команды PowerShell.
  • Проверьте наличие захваченной запланированной задачи с именем RegIdleBackup с помощью предоставленной команды PowerShell.
  • В случае злоупотребления: CLSID в обработчике COM НЕ ДОЛЖЕН быть установлен на {CA767AA8-9157-4604-B64B-40747123D5F2}
  • Если задача включает другой CLSID: проверьте содержимое объектов CLSID в реестре с помощью предоставленной команды PowerShell, возвращенные строки в кодировке Base64 могут быть индикатором компрометации.

Несмотря на многочисленные предупреждения о применении обновления безопасности, многие уязвимые серверы Serv-U остаются общедоступными.

Наиболее уязвимые экземпляры Serv-U FTP находятся в Китае, на втором месте — США.

Прошло почти четыре месяца с тех пор, как SolarWinds выпустила обновление безопасности для этой уязвимости, но процент потенциально уязвимых серверов Serv-U остается выше 60%.

«В июле 5945 (~ 94%) всех FTP-сервисов Serv-U (S), идентифицированных на порту 22, были потенциально уязвимыми. В октябре, через три месяца после того, как SolarWinds выпустила свой патч, количество потенциально уязвимых серверов по-прежнему остается значительным и составляет 2784. (66,5%) », — предупреждают исследователи в своем отчете.

Последнее обновление 9 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии