Компания Mandiant заметила широкое использование уязвимости нулевого дня в программном обеспечении для безопасной управляемой передачи файлов MOVEit Transfer для последующей кражи данных. Эта уязвимость была анонсирована корпорацией Progress Software 31 мая 2023 года и получила номер CVE-2023-34362. По результатам первоначального анализа, проведенного Mandiant в ходе реагирования на инциденты, самые ранние свидетельства эксплуатации возникли 27 мая 2023 года и привели к развертыванию веб-оболочек и краже данных.
В некоторых случаях кража данных происходила в течение нескольких минут после развертывания веб-оболочек. В настоящее время Mandiant относит эту активность к UNC4857, недавно созданному кластеру угроз с неизвестными мотивами, который воздействовал на организации, работающие в широком спектре отраслей промышленности, расположенные в Канаде, Индии и США, но их влияние почти наверняка шире. Кажущийся оппортунистический характер этой кампании и последующей деятельности по краже данных соответствует активности, которую мы наблюдали со стороны вымогателей, что означает, что организации-жертвы могут получить электронные письма с требованием выкупа в ближайшие дни или недели.
- После эксплуатации уязвимости угрожающие лица развертывают недавно обнаруженную веб-оболочку LEMURLOOT с именами файлов, маскирующимися под human.aspx, который является легитимным компонентом программного обеспечения MOVEit Transfer. Компания Mandiant наблюдала несколько POST-запросов, сделанных к легитимному файлу guestaccess.aspx до взаимодействия с веб-оболочкой LEMURLOOT, что указывает на то, что SQLi атаки были направлены на этот файл.
- Mandiant наблюдали образцы LEMURLOOT с именами файлов human2.aspx и _human2.aspx. Различные образцы с именем human2.aspx были загружены на VirusTotal начиная с 28 мая 2023 года. Образцы LEMURLOOT были загружены в публичные репозитории еще из нескольких стран, включая Италию, Пакистан и Германию, что позволяет предположить, что UNC4857 также воздействовал на организации в этих странах.
- LEMURLOOT обеспечивает функциональность, предназначенную для выполнения на системе с программным обеспечением MOVEit Transfer, включая возможность генерировать команды для перечисления файлов и папок, получения информации о конфигурации, создания или удаления пользователя с жестко заданным именем. Первоначальный анализ показывает, что веб-оболочка LEMURLOOT используется для кражи данных, ранее загруженных пользователями отдельных систем MOVEit Transfer.
- Компании Mandiant известно о многочисленных случаях кражи больших объемов файлов из систем MOVEit Transfer. LEMURLOOT также может похищать информацию о Azure Storage Blob, включая учетные данные, из настроек приложения MOVEit Transfer, что позволяет предположить, что субъекты, эксплуатирующие эту уязвимость, могут похищать файлы из Azure в случаях, когда жертвы хранят данные устройств в Azure Blob storage, хотя неясно, ограничивается ли кража данными, хранящимися таким образом.
- Во многих случаях сканирование и эксплуатация, приведшие к доставке LEMURLOOT, осуществлялись с IP-адресов в диапазоне 5.252.188.0/22, однако взаимодействие с веб-оболочкой и кража данных происходили из разных систем. На многих узлах, используемых для поддержки этих операций на втором этапе, были размещены службы RDP с сертификатами, созданными между 19 и 22 мая, что позволяет предположить, когда эта инфраструктура могла быть создана.
Indicators of Compromise
CIDR
- 5.252.188.0/22
MD5
- 00c6bce35c40ce1601aa06c4e808c0f1
- 04b474e8db353d368e2d791ba5dee6d6
- 11eadcf3f1bc9b0ed6994c3ede299ce8
- 317552cac7035e35f7bdfc2162dfd29c
- 359a1141a79480555aa996fd6d9e4af1
- 44d8e68c7c4e04ed3adacb5a88450552
- 45685c190c91ebe0966e8a0aeca31280
- 538d6e172d18d4cebeac211873779ba5
- 67fca3e84490dfdddf72e9ba558b589a
- 7d5e5537c5346d764f067f66cca426ba
- 8cd6c75e6160b90de2a52c967b3d4846
- 8d88e451e39506ae258f3aa99da8db9a
- 911230b5dca1c43f6d22e65c66b0f6b1
- 96d467fd9663cf2e5572f8529e54f13e
- 9f3c306dabc3f349b343251f4443412c
- a85299f78ab5dd05e7f0f11ecea165ea
- b1bdad086567efd202babf56eac17e1d
- b52e56bfc03878cc5cb9eae9d3896808
- b69e23cd45c8ac71652737ef44e15a34
- bf7c1dd613101c0a95027249a5fcb759
- c2db1091eb7bac28461877f736d86d83
- d71a6b5ae3d89dc33cbbb6877e493d52
- ddd95f1c76a1d50b997b2e64274f386a
- e9a5f0c7656329ced63d4c8742da51b4
- eea4d43f9e3700ebcd61405776eb249a
- fbba113d1d121220fa43f90b3a20870a
SHA256
- 0ea05169d111415903a1098110c34cdbbd390c23016cd4e179dd9ef507104495
- 2413b5d0750c23b07999ec33a5b4930be224b661aaf290a0118db803f31acbc5
- 348e435196dd795e1ec31169bd111c7ec964e5a6ab525a562b17f10de0ab031d
- 387cee566aedbafa8c114ed1c6b98d8b9b65e9f178cf2f6ae2f5ac441082747a
- 38e69f4a6d2e81f28ed2dc6df0daf31e73ea365bd2cfc90ebc31441404cca264
- 3a977446ed70b02864ef8cfa3135d8b134c93ef868a4cc0aa5d3c2a74545725b
- 3ab73ea9aebf271e5f3ed701286701d0be688bf7ad4fb276cb4fbe35c8af8409
- 4359aead416b1b2df8ad9e53c497806403a2253b7e13c03317fc08ad3b0b95bf
- 48367d94ccb4411f15d7ef9c455c92125f3ad812f2363c4d2e949ce1b615429a
- 5b566de1aa4b2f79f579cdac6283b33e98fdc8c1cfa6211a787f8156848d67ff
- 6015fed13c5510bbb89b0a5302c8b95a5b811982ff6de9930725c4630ec4011d
- 702421bcee1785d93271d311f0203da34cc936317e299575b06503945a6ea1e0
- 9d1723777de67bc7e11678db800d2a32de3bcd6c40a629cd165e3f7bbace8ead
- 9e89d9f045664996067a05610ea2b0ad4f7f502f73d84321fb07861348fdc24a
- a1269294254e958e0e58fc0fe887ebbc4201d5c266557f09c3f37542bd6d53d7
- b1c299a9fe6076f370178de7b808f36135df16c4e438ef6453a39565ff2ec272
- b9a0baf82feb08e42fa6ca53e9ec379e79fbe8362a7dac6150eb39c2d33d94ad
- c56bcb513248885673645ff1df44d3661a75cfacdce485535da898aa9ba320d4
- c77438e8657518221613fbce451c664a75f05beea2184a3ae67f30ea71d34f37
- cf23ea0d63b4c4c348865cefd70c35727ea8c82ba86d56635e488d816e60ea45
- d477ec94e522b8d741f46b2c00291da05c72d21c359244ccb1c211c12b635899
- d49cf23d83b2743c573ba383bf6f3c28da41ac5f745cde41ef8cd1344528c195
- daaa102d82550f97642887514093c98ccd51735e025995c2cc14718330a856f4
- ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a
- f0d85b65b9f6942c75271209138ab24a73da29a06bc6cc4faeddcb825058c09d
- fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f
