CVE-2024-50623 в действии: как хакеры Clop обошли защиту MFT от Cleo
Киберпреступники воспользовались упущением в защите и оставили сотни компаний без данных.
Кибергруппа Clop заявила о своей причастности к недавним атакам на платформы Cleo Harmony, VLTrader и LexiCom, используемые для защищённого обмена файлами. Злоумышленники воспользовались уязвимостью CVE-2024-50623, исправленной в октябре, но позднее обнаруженной в обходном виде.
Решения компании Cleo обеспечивают автоматизацию, контроль и защиту файловых операций, что делает их востребованными в сферах, где важны конфиденциальность и надёжность передачи данных. Однако последние инциденты с уязвимостью в их платформах поставили под сомнение уровень их безопасности.
9 декабря эксперты Huntress сообщили, что первоначальная защита Cleo оказалась недостаточной. Угроза заключалась в возможности загрузки Java-бэкдора, позволяющего красть данные, запускать команды и получать доступ к сетям компаний.
Агентство CISA подтвердило активную эксплуатацию уязвимости в Cleo для атак с применением программ-вымогателей. Однако сама компания Cleo не опубликовала информацию о том, что исправленный ранее баг уже использовался злоумышленниками.
Изначально атаку связывали с новой группировкой Termite, но данные Huntress указывали на схожесть методов с операциями Clop. Представители последней позже лично подтвердили свою причастность, заявив журналистам, что «заботятся» о безопасности данных и удаляют чувствительную информацию, относящуюся к государственным учреждениям, медицине и научным исследованиям.
Кроме того, на своём сайте Clop разместили сообщение о том, что все ссылки на ранее украденные данные отключены, а информация уничтожена. В дальнейшем группировка планирует работать только с новыми целями, связанными с атаками на Cleo.
Clop специализируется на атаках через платформы передачи данных, эксплуатируя ранее неизвестные уязвимости. Среди их жертв — платформы Accellion FTA, SolarWinds Serv-U и MOVEit Transfer. В последнем случае злоумышленники похитили данные более чем 2700 организаций.
На момент публикации не сообщается, сколько компаний пострадали в результате атак на Cleo. Государственный департамент США предлагает вознаграждение в $10 млн за информацию, связывающую Clop с иностранными правительствами.