Cl0P गिरोह लगभग 2 वर्षों से MOVEit दोष के लिए शोषण पर है

पता चला कि सीएल0पी रैंसमवेयर समूह शून्य-दिन की भेद्यता पर बैठा था, जिसे उसने प्रोग्रेस सॉफ्टवेयर के MOVEit ट्रांसफर फ़ाइल ट्रांसफर ऐप में इसका फायदा उठाने से पहले लगभग दो साल तक खोजा था - जो उसने इस महीने की शुरुआत में विनाशकारी प्रभाव के साथ किया था।

उस होल्डिंग अवधि के दौरान, समूह के सदस्यों ने समय-समय पर संगठनों तक अपनी पहुंच का परीक्षण करने और लक्षित किए जाने वाले लोगों की पहचान करने के लिए कमजोर प्रणालियों के खिलाफ दुर्भावनापूर्ण गतिविधि की लहरें शुरू कीं।

क्रोल के साइबर रिस्क बिजनेस के एसोसिएट मैनेजिंग डायरेक्टर स्कॉट डाउनी कहते हैं, "मैं जिस सादृश्य का उपयोग कर रहा हूं वह दरवाज़े के हैंडल को मोड़ना है, उसे मुड़ते हुए देखना, फिर यह जानते हुए चला जाना कि मैं बाद में वापस आ सकता हूं, दरवाज़ा खोल सकता हूं और उसके माध्यम से चल सकता हूं।" वे कहते हैं, ''इसकी व्याख्या इस तरह भी की जा सकती है कि वे संभावित लक्ष्यों की पहचान कर रहे हैं।''

लगभग 2 वर्षों तक MOVEit शोषण के साथ प्रयोग

क्रोल थ्रेट इंटेलिजेंस के शोधकर्ताओं, जिन्होंने हाल के हमलों की जांच की, को सीएल0पी अभिनेताओं को दिखाने वाले सबूत मिले MOVEit ट्रांसफर भेद्यता का फायदा उठाने के तरीकों के साथ प्रयोग करना जुलाई 2021 तक वापस। Microsoft इंटरनेट सूचना सेवा (IIS) लॉग की क्रॉल की समीक्षा हमलों से प्रभावित ग्राहकों से अप्रैल 2022 में और हमलों से कुछ दिन पहले पिछले महीने दो बार इसी तरह की गतिविधि करने वाले धमकी देने वाले अभिनेताओं के सबूत मिले।

टेलीमेट्री से पता चलता है कि खतरे के कारक कमजोर MOVEit ट्रांसफर क्लाइंट तक पहुंच का परीक्षण कर रहे थे और जानकारी प्राप्त करने का प्रयास कर रहे थे जो उन्हें उन संगठनों की पहचान करने में मदद कर सकता था जहां इसे स्थापित किया गया था। प्रारंभिक चरण में - जुलाई 2021 में - अधिकांश दुर्भावनापूर्ण टोही और परीक्षण गतिविधि मैन्युअल प्रकृति की प्रतीत होती है। लेकिन अप्रैल 2022 से, सीएल0पी अभिनेताओं ने एक ही समय में कई संगठनों की जांच करने और उनसे जानकारी एकत्र करने के लिए एक स्वचालित तंत्र का उपयोग करना शुरू कर दिया। 

अंतिम परीक्षण गतिविधि - बड़े पैमाने पर शोषण शुरू होने से पहले - मई में थी और प्रत्येक MOVEit ट्रांसफर उपयोगकर्ता से जुड़े अद्वितीय "संगठन आईडी" पहचानकर्ता को निकालने के लिए डिज़ाइन की गई थी। क्रोल ने कहा कि जानकारी से हमलावरों को उन संगठनों को वर्गीकृत करने में मदद मिल सकती थी, जिन तक वे पहुंच सकते थे। डाउनी का कहना है कि दुर्भावनापूर्ण गतिविधि से जुड़े आईपी पते के कंपनी के विश्लेषण से पता चला है कि वे रूस और नीदरलैंड में स्थित हैं।

डाउनी कहते हैं, "सीवीई-2023-34362 शोषण की एक बहु-चरणीय प्रक्रिया है।" "यह गतिविधि CVE-2023-34362 के पहले चरण के अनुरूप है।"

सीवीई-2023-34362: जीरो-डे ट्रिगर क्यों नहीं खींचते?

क्रोल ने उच्च स्तर के विश्वास के साथ निष्कर्ष निकाला है कि सीएल0पी अभिनेताओं ने जुलाई 2021 में MOVEit भेद्यता के लिए एक कामकाजी शोषण किया था। लेकिन समूह ने संभवतः कुछ कारणों से दो साल के लिए इस पर बैठने का फैसला किया, एसोसिएट प्रबंध निदेशक लॉरी इकोनो का मानना ​​है, क्रॉल में साइबर जोखिम व्यवसाय।

2021 में, उसी ख़तरे वाले अभिनेता ने शून्य-दिन में खोजे गए एक और फ़ाइल-ट्रांसफर का फायदा उठाया, इस बार एक्सेलियन का फ़ाइल स्थानांतरण उपकरण. 2021 के शेष और 2022 की शुरुआत में, सीएल0पी एक्सेलियन एफटीए उल्लंघन के संबंध में बहुत सक्रिय था। तो, संभवतः इसके हाथ पहले से ही भरे हुए थे। 

धमकी देने वाली साइट 2022 के अधिकांश समय के दौरान काफी निष्क्रिय थी और संभवत: कुछ समय के लिए उसने अपनी गतिविधियों को जबरन वसूली से दूर कर दिया था। 0 में सीएल2021पी सदस्यों की गिरफ्तारी, इकोनो कहते हैं। वह कहती हैं कि यूक्रेन/रूस संघर्ष जिसने 2022 की शुरुआत से मध्य तक समग्र रैंसमवेयर गतिविधि को धीमा कर दिया, वह भी एक कारक हो सकता है।

इकोनो कहते हैं, "Cl0p को मूल रूप से FIN11 के रूप में वर्गीकृत किया गया था [और यह] POS मैलवेयर हमलों आदि के लिए जाना जाता था।" “उन्होंने 2020/2021 के 'बूम' के दौरान रैंसमवेयर गेम में प्रवेश किया। लेकिन इसका कारण यह है कि उनके समूह के पास साइबर अपराध सेवाओं का एक विविध पोर्टफोलियो है जिसका वह लाभ उठाता है, न कि केवल रैंसमवेयर जबरन वसूली।

हम MOVEit हमलों के बारे में क्या जानते हैं

पृष्ठभूमि के अनुसार, MOVEit ट्रांसफर में SQL इंजेक्शन भेद्यता को लक्षित करने वाली हमले की गतिविधि की विक्रेता रिपोर्ट 1 जून को सामने आने लगी। मैंडिएंट के शोधकर्ता और अन्य विक्रेता जो हमलों की जांच की प्रोग्रेस सॉफ्टवेयर के ऐप के ग्राहकों से डेटा चोरी करने के लिए धमकी देने वाले अभिनेता को दोष का फायदा उठाते हुए पाया गया। कुछ लोगों ने अनुमान लगाया - सही - कि हमले और डेटा चोरी फिरौती की मांग का अग्रदूत थे।

4 जून को माइक्रोसॉफ्ट हमलों को जिम्मेदार ठहराया सीएल0पी रैंसमवेयर समूह (जिसे कंपनी "लेस टेम्पेस्ट" के रूप में ट्रैक करती है और जिसे टीए505 खतरा समूह से संबंधित माना जाता है) के लिए हमलों से पीड़ित संगठनों की पहली रिपोर्ट आना शुरू हो गई है। अब तक, सूची इसमें बीबीसी, ब्रिटिश एयरवेज़ और शामिल हैं नोवा स्कोटिया की सरकार. सीएल0पी ने स्वयं सैकड़ों पीड़ितों का दावा किया है। 7 जून को अमेरिकी साइबर सुरक्षा और सूचना सुरक्षा एजेंसी संभावित व्यापक प्रभाव की चेतावनी दी: "जिस गति और आसानी से TA505 ने इस भेद्यता का फायदा उठाया है, और उनके पिछले अभियानों के आधार पर, FBI और CISA को निजी और सार्वजनिक दोनों नेटवर्क में अप्रकाशित सॉफ़्टवेयर सेवाओं का व्यापक शोषण देखने की उम्मीद है।"

MOVEit एक प्रबंधित फ़ाइल स्थानांतरण ऐप है जिसका उपयोग डिज़्नी, चेज़, GEICO और अमेरिकी संघीय एजेंसियों जैसे दिग्गजों सहित हजारों संगठन संवेदनशील डेटा और बड़ी फ़ाइलों को स्थानांतरित करने के लिए करते हैं। ऐसे ऐप्स हमलावरों के लिए एक लोकप्रिय लक्ष्य बन गए हैं क्योंकि वे उस तरह के डेटा तक पहुंच प्रदान करते हैं जिसके लिए संगठन संभवतः भुगतान करने को तैयार होते हैं, ताकि इसे लीक होने या रैंसमवेयर हमले में लॉक होने से बचाया जा सके। 

फ़ाइल स्थानांतरण हमले इस समूह के लिए गर्म हैं: MOVEit और Accelion के अलावा, फरवरी में सीएल0पी खतरे वाले अभिनेताओं ने शून्य-दिन की खामी का फायदा उठाया। फोर्ट्रा का गोएनीव्हेयर एमएफटी प्रबंधित फ़ाइल स्थानांतरण उत्पाद के ग्राहकों से जबरन वसूली करना।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• ईवीएम वित्त। विकेंद्रीकृत वित्त के लिए एकीकृत इंटरफ़ेस। यहां पहुंचें।
• क्वांटम मीडिया समूह। आईआर/पीआर प्रवर्धित। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/attacks-breaches/cl0p-gang-exploit-moveit-flaw-2-years