- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Уязвимость CVE-2023-0669 позволяет хакеру удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.
По словам группы Clop, они украли данные в течение 10 дней после взлома уязвимых серверов. Они также утверждали, что могут перемещаться по сетям своих жертв и развертывать полезную нагрузку программ-вымогателей для шифрования систем, но отказались от этого и украли только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT.
Банда отказалась предоставить доказательства или поделиться дополнительной информацией относительно своих заявлений.
Менеджер Huntress Threat Intelligence Джо Словик связал атаки GoAnywhere MFT с TA505, группой угроз, известной тем, что в прошлом развертывала программу-вымогатель Clop, при расследовании атаки, в которой был развернут загрузчик вредоносных программ TrueBot.
«Хотя ссылки не являются достоверными, анализ активности Truebot и механизмов развертывания указывает на TA505. Отчеты различных организаций связывают активность Silence/Truebot с операциями TA505», — сказал Словик.
GoAnywhere MFT — это продукт для управления процессами передачи файлов, обеспечивающий автоматизацию и безопасность при использовании в организациях. Данный веб-инструмент используется десятками крупных компаний и учебных заведений США.«Основываясь на наблюдаемых действиях и предыдущих отчетах, мы можем заключить, что активность, которую наблюдала Huntress, была направлена на развертывание программы-вымогателя с дополнительной эксплуатацией GoAnywhere MFT».
Эксперт по безопасности Кевин Бомонт поделился результатами поиска на платформе Shodan: было выявлено свыше 1000 уязвимых экземпляров административных консолей, доступ к которым можно было получить из Интернета.