Резкий рост сканирования MOVEit Transfer может свидетельствовать о новой волне кибератак

Исторически подобные сканирования предшествуют обнаружению новых уязвимостей в течение 2–4 недель. За последние 90 дней GreyNoise зафиксировала 682 уникальных IP-адреса, связанных с этим типом активности. Наибольшее количество сканеров (44%) размещены в облаке Tencent Cloud (ASN 132203). Также значительная часть трафика исходит от инфраструктур Cloudflare (113 IP), Amazon (94 IP) и Google (34 IP). География целевых систем включает Великобританию, США, Германию, Францию и Мексику, при этом большинство сканирующих IP-адресов геолоцируются в США.

12 июня GreyNoise зафиксировала попытки эксплуатации двух известных уязвимостей в MOVEit Transfer - CVE-2023-34362 и CVE-2023-36934. Хотя масштабных атак пока не обнаружено, эти инциденты могут быть частью тестирования эксплойтов или валидации целей перед более масштабными кампаниями.

Концентрация сканирующей инфраструктуры в облачных сервисах, особенно в Tencent Cloud, указывает на скоординированные и программно управляемые действия, а не на случайные зондирования. Это может свидетельствовать о подготовке к целенаправленным атакам.

Эксперты GreyNoise рекомендуют организациям предпринять ряд мер для защиты. Во-первых, следует блокировать подозрительные и вредоносные IP-адресы с помощью данных GreyNoise. Во-вторых, необходимо проверить, доступны ли системы MOVEit Transfer из публичного интернета, и минимизировать их внешнюю экспозицию. В-третьих, критически важно установить все доступные обновления безопасности, включая патчи для CVE-2023-34362 и CVE-2023-36934. Кроме того, рекомендуется мониторить активность злоумышленников в режиме реального времени через соответствующие теги GreyNoise.

Организациям, использующим эту платформу, стоит оставаться настороже и своевременно обновлять системы защиты.

IPv4