最近幾年駭客鎖定MFT檔案傳輸系統下手的情況,陸續傳出事故,其中又以去年5月發生的MOVEit Hack事故最為嚴重,全球估計超過2,600家企業組織受害,外洩近9千萬筆個資,到了近期仍有駭客公布新的資料。因此,有關MFT檔案系統的弱點,或是零時差漏洞攻擊事故,都格外引起資安界高度關注。
本週一(12月9日)資安業者Huntress提出警告,他們從3日開始察覺Cleo旗下MFT檔案傳輸系統Harmony、VLTrader、LexiCom遭到鎖定的跡象,駭客對於這些MFT系統進行大規模的後利用活動,並在8日出現大幅增加的情況。
值得留意的是,攻擊者疑似針對一項10月底公布的漏洞CVE-2024-50623而來,但研究人員指出,Cleo當時發布的更新5.8.0.21版修補不全,攻擊者照樣能對上述完全修補的系統利用該漏洞發動攻擊,他們也向Cleo通報此事,並呼籲用戶將曝露於網際網路的MFT系統移至防火牆後方,以免成為攻擊者下手的目標。
究竟攻擊如何發生?研究人員根據MFT系統的事件記錄進行分析,指出攻擊者一開始很可能在autorun資料夾植入名為healthchecktemplate.txt的檔案,而在MFT系統偵測到就立即進行讀取、解譯,並確認目標系統的版本後,便匯入特定的本機暫存檔案(.TMP),而此檔實際上是ZIP壓縮檔,當中內含main.xml檔案,攻擊者藉此啟動PowerShell命令,並執行程式碼。而對於攻擊者下達命令的確切內容,研究人員表示,礙於healthchecktemplate.txt執行後就自行刪除,他們無從得知相關資訊。
在攻擊者執行PowerShell命令後,受害電腦會連到外部IP位址並搜尋JAR檔案,以便後續於受害電腦植入Web Shell,使得攻擊者能持續於MFT系統活動。
而對於攻擊的來源,研究人員發現6個IP位址,來自摩爾多瓦、荷蘭、加拿大、立陶宛、美國。截至目前為止,至少有10家企業組織受害,涵蓋消費性產品、食品工業、貨運、物流業。這波攻擊在8日出現大幅增加的情況。
Huntress也向Cleo通報漏洞修補不全的情況,並提供概念性驗證(PoC)。Cleo確認研究人員的發現,並準備登記新的CVE編號,打算在一週內發布新的修補程式。
這樣的情況得到資安專家Kevin Beaumont證實,他透露Cleo已在客戶支援網站(需登入才能存取)證實這項零時差漏洞,並指出其危險程度為重大層級,該公司已在申請CVE編號。後來Cleo也發布一則新的公告,表明他們在處理一項未經授權的惡意主機弱點,將會發布5.8.0.23版更新予以修補,而這項漏洞目前尚未有CVE編號。
而對於攻擊者的身分,Kevin Beaumont指出,很有可能就是日前聲稱攻擊SaaS服務供應商Blue Yonder的勒索軟體駭客組織Termite。此外,資安業者Rapid7也證實部分客戶遭遇相關攻擊的情況。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-12-11
2024-11-29
