Хакерская группировка Clop утверждает, что стоит за кибератаками, которые использовали уязвимость «нулевого дня» в инструменте безопасной передачи файлов GoAnywhere MFT.

Хакеры сообщили изданию BleepingComputer, что за 10 дней взломали сервера и украли данные более 130 организаций. Они также утверждают, что могут перемещаться по сетям жертв и развертывать программы-вымогатели для шифрования систем, но отказались от этого, украв только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT. Группировка не предоставила никаких доказательства проникновения и краж и не дала изданию BleepingComputer дополнительных комментариев. Не ответил на запросы журналистов и производитель инструмента, компания Fortra.

Уязвимость CVE-2023-0669 в системе безопасности инструмента позволяет злоумышленникам удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.

Компания Fortra, производитель GoAnywhere MFT, ранее сообщила, что эта уязвимость активно эксплуатировалась как уязвимость «нулевого дня». В экстренном порядке были выпущены несколько обновлений безопасности, Fortra также предоставила индикаторы компрометации для потенциально затронутых клиентов.

Компания сообщила, что неизвестные получили доступ к ее системам с помощью ранее неизвестного эксплойта и создали неавторизованные учетные записи пользователей. Из соображений безопасности произведено временное отключение скомпрометированных служб, ведется расследование инцидента. Проводится восстановление и проверка систем для каждого отдельного клиента с целью смягчения последствий кибератаки.

Менеджер Huntress Threat Intelligence Джо Словик связал атаки на GoAnywhere MFT с хакерской группировкой TA505, которая ранее развертывала вымогатель Clop, используя загрузчик вредоносных программ TrueBot.

CISA внесла уязвимость CVE-2023-0669 GoAnywhere MFT в каталог известных эксплуатируемых уязвимостей, все федеральные агентства США должны обновить свои системы до 3 марта 2023 г.

Инструмент GoAnywhere MFT используется крупными компаниями и учебными заведениями США. Поисковая система Shodan находит более одной тысячи экземпляров GoAnywhere в сети, однако только 135 из них подключены к портам 8000 и 8001, которые используются уязвимой консолью администратора.

14 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных