ITanalyze

گروه باج افزاری کلاپ (Clop) ادعا می‌کند که بیش از 130 سازمان را که درگیر آسیب‌پذیری روز صفر گو انیور ام اف تی (GoAnywhere MFT zero-day) بوده‌اند را هک کرده است.
به گزارش سایبربان؛ بلیپینگ کامپیوتر (BleepingComputer) گزارش می‌دهد که گروه باج افزاری کلاپ ادعا کرده که با بهره‌برداری از یک آسیب‌پذیری روز صفر (CVE-2023-0669) در ابزار انتقال فایل امن گو انیور ام اف تی فورترا (GoAnywhere MFT Fortra)، داده‌های حساس بیش از 130 سازمان را به سرقت برده است.

فورترا بلافاصله با انتشار وصله امنیتی اضطراری این نقص را برطرف کرده و از مشتریان خواسته است که آن را نصب کنند.

محقق محبوب، برایان کربس، ابتدا جزئیات مربوط به روز صفر در ماستودون را فاش کرده و اشاره می‌کند که فورترا هنوز یک توصیه عمومی را به اشتراک نگذاشته است.

نرم‌افزار گو انیور ام اف تی، یک برنامه محبوب انتقال فایل، در مورد سوءاستفاده از تزریق کد از راه دور در روز صفر هشدار می‌دهد. این شرکت اعلام کرده است که در پاسخ به آن به‌طور موقت یک قطع سرویس را اجرا کرده است. کربس روی ماستودون می‌نویسد:

من مجبور شدم یک حساب کاربری در سرویس ایجاد کنم تا این توصیه امنیتی را پیدا کنم.

طبق مشاوره خصوصی منتشرشده توسط فورترا، روز صفر یک مشکل تزریق کد از راه دور است که گو انیور ام اف تی را تحت تأثیر قرار خواهد داد. این آسیب‌پذیری تنها می‌تواند توسط مهاجمانی با دسترسی به کنسول مدیریتی برنامه مورد سوءاستفاده قرار گیرد.

نصب‌هایی با کنسول‌های اداری و رابط‌های مدیریتی که در اینترنت در معرض دید نیستند، ایمن هستند، بااین‌حال، محقق امنیتی، کوین بومونت، حدود 1000 کنسول در معرض دید در اینترنت را کشف کرده است.

فورترا به مشتریان گو انیور ام اف تی توصیه می‌کند که همه کاربران مدیریتی را بررسی کنند و نام های کاربری ناشناخته، به‌ویژه آن‌هایی که توسط سیستم ایجاد شده‌اند را کنترل کنند.

کلاپ به بلیپینگ کامپیوتر گفته است که آن‌ها توانسته‌اند بیش از 130 سازمان را تنها در ده روز هک کنند، اما جزئیاتی در مورد ادعاهای خود به اشتراک نگذاشته است.

کلاه‌برداران همچنین ادعا می‌کنند که به‌طور کامل سازمان‌های شبکه را به خطر انداخته‌اند، اما هیچ باج افزاری را مستقر نکرده‌اند.

چندین متخصص قبلاً اکسپلویت هایی را برای آسیب‌پذیری CVE-2023-0669 منتشر کرده بودند. در 6 فوریه 2023، محقق فلوریان هاوزر از شرکت مشاوره امنیت فناوری اطلاعات کد سفید (Code White) یک کد سوءاستفاده اثبات مفهوم (PoC) را منتشر کرد.

ران بووز، محقق ارشد امنیت در رپید 7 (Rapid7) اعلام کرده است که اکسپلویت خود را برای گو انیور ام اف تی فورترا، در متا اسپلویت (Metasploit) ادغام کرده است.

محققان شرکت اطلاعاتی تهدیدات هانترس (Huntress) یافته‌های تحقیقات خود را در مورد بهره‌برداری گو انیور ام اف تی به اشتراک گذاشته‌اند و این حملات را به عوامل تهدید TA505 مرتبط می‌دانند.

با مطالعه تحلیل منتشرشده توسط هانترس، درمیابیم که درحالی‌که پیوندها معتبر نیستند، تجزیه‌وتحلیل فعالیت تروبات (Truebot) و مکانیسم‌های استقرار، پیوندهایی به گروهی به نام TA505 را نشان می‌دهد. توزیع‌کنندگان یک خانواده باج افزار به نام کلاپ که از نهادهای مختلف گزارش می‌دهند، فعالیت تروبات/سکوت (Silence/Truebot) را به عملیات TA505 مرتبط می‌کنند. بر اساس اقدامات مشاهده‌شده و گزارش‌های قبلی، می‌توان با اطمینان متوسط نتیجه گرفت که فعالیتی که هانترس مشاهده کرده است برای استقرار باج افزار بوده است، با بهره‌برداری بیشتر فرصت‌طلبانه از گو انیور ام اف تی برای همین هدف.

این هفته آژانس امنیت سایبری و امنیت زیرساخت آمریکا، نقص گو انیور ام اف تی را نیز به کاتالوگ آسیب‌پذیری‌های مورد سوءاستفاده شناخته‌شده خود اضافه کرده و به آژانس‌های فدرال دستور داده است که تا 3 مارس 2023 به آن رسیدگی کنند.