Securitylab网站12月25日消息,勒索软件组织Clop在其暗网门户上宣布,它已开始勒索66家公司,这些公司是最近通过Cleo产品泄露数据的受害者。公司有48小时的时间回复请求。
犯罪分子表示,他们直接联系受害者并提供安全聊天链接以讨论赎金条款。还标明了公司可以通过其联系自己的电子邮件地址。
在泄漏网站上,Clop部分透露了66家无视这些消息的公司的名称。如果他们在 48小时内不回复,犯罪分子就会威胁公布全名。
Clop网络组织利用Cleo LexiCom、VLTrader和Harmony产品中的零日漏洞实施了新的重大黑客攻击。这使得攻击者能够访问受影响公司网络上的数据。此前,Clop曾使用类似方法攻击Accellion FTA、 GoAnywhere MFT、MOVEit Transfer平台以及SolarWinds Serv-U 服务器 。
导致最新事件的漏洞注册代码为CVE-2024-50623。 它允许攻击者不受限制地上传和下载文件,从而导致远程代码执行。为了解决这个问题,Cleo发布了 Harmony、VLTrader 和 LexiCom (5.8.0.21) 的更新,警告黑客已经利用该漏洞在受感染的网络上创建反向 shell。
Huntress研究人员 报告称 ,该漏洞已被积极利用,并发现了绕过已发布补丁的方法,提供了PoC漏洞来证实他们的发现。 Clop组织确认他们使用CVE-2024-50623进行攻击,之前操作的数据将从其平台上删除,以专注于新一轮的勒索。
Macnica研究员Yutaka Seijiyama表示,如果将某些受害者与互联网上可用的 Cleo服务器的所有者相匹配,则可以通过公开的部分公司名称来识别一些受害者。目前尚不清楚有多少组织实际受到影响,但Cleo表示,全球有4,000多家公司使用其软件。
Clop黑客再次证明,即使是罕见的攻击也可能造成巨大的损害。他们的新行动已成为一个引人注目的例子,说明有针对性的攻击如何能够同时威胁数百家公司,并以其大胆和规模震惊全世界。
前情回顾
据SecurityWeek网站12月16日消息,企业软件开发商Cleo的产品因安全漏洞遭到勒索软件组织的攻击。该漏洞被指定为CVE-2024-55956,影响Cleo的Harmony、VLTrader和LexiCom文件传输工具,允许未经身份验证的攻击者远程执行代码。自12月3日起,已观察到利用这些漏洞的攻击行为,攻击者可能试图获取使用这些软件的组织的文件。Cleo曾在10月尝试修补CVE-2024-50623漏洞,但未能成功。目前,Cleo已发布新版本5.8.0.24来修补CVE-2024-55956,并强烈敦促客户更新软件。
Rapid7的首席安全研究员Stephen Fewer分析了CVE-2024-50623和CVE-2024-55956,确认CVE-2024-55956是一个新发现的未经身份验证的文件写入漏洞,与CVE-2024-50623的根源不同。这两个漏洞似乎已被广泛利用,表明攻击涉及零日漏洞的利用。勒索软件组织Cl0p声称对Cleo攻击事件负责,并暗示将重点关注这些攻击所针对的组织。最初,人们怀疑名为Termite的新勒索软件组织可能是幕后黑手,但目前尚无确凿证据。
美国网络安全与基础设施安全局(CISA)已将Cleo产品漏洞添加到其已知被利用漏洞目录中,并指示联邦机构在2025年1月初之前解决这些安全漏洞。网络安全公司发布的分析显示,攻击中使用的恶意软件基于Java,被称为Malichus(女猎手)和Cleopatra(北极狼),允许攻击者进行侦察、执行命令和窃取文件。目前,受到Cleo活动影响的公司数量尚不清楚,但Cl0p表示“数量相当多”。Censys数据显示,Harmony、VLTrader和LexiCom产品在互联网上暴露的实例数量稳定在约1,300个。
参考资源
1、https://www.securitylab.ru/news/555082.php
2、https://darkwebinformer.com/cl0p-ransomware-posted-the-following-messages-for-its-victims-affected-by-the-cleo-exploit-2/
3、https://www.securityweek.com/cve-assigned-to-cleo-vulnerability-as-cl0p-ransomware-group-takes-credit-for-exploitation/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...