威胁行为者组织最近因对 Blue Yonder 的类似攻击而受到赞誉,该攻击影响了包括星巴克在内的多个组织。
勒索软件组织“Termite”最近声称供应链供应商 Blue Yonder 是受害者,可能是针对 Cleo 的 LexiCom、VLTransfer 和 Harmony 文件传输软件中先前修复的漏洞的广泛漏洞利用活动的幕后黑手。
Cleo 目前正在为该漏洞开发新的补丁,但目前没有针对该问题的信息,这意味着该漏洞是受到主动攻击的零日漏洞。
广泛的攻击
据追踪该活动的 Huntress Labs 的研究人员称,这些攻击似乎始于 12 月 3 日,已在多个行业造成至少 10 名受害者死亡,包括消费品、卡车运输和运输以及食品行业 。该安全供应商表示,对易受攻击、暴露在互联网上的 Cleo 系统的搜索表明,实际受害者人数可能更高。
Rapid7 还表示,它已收到来自多个客户的涉及 Cleo 漏洞的入侵和漏洞利用后活动的报告。“文件传输软件仍然是对手的目标,尤其是出于经济动机的威胁行为者,”Rapid7 在 12 月 10 日的一篇博客文章中写道。该公司建议受影响的组织采取“紧急行动”来降低与威胁相关的风险。
来自物流和运输、制造和批发分销等多个行业的 4,200 多名客户将 Cleo 软件用于各种使用案例。一些知名品牌包括 Brother、New Balance、Duraflame、TaylorMade、Barilla America 和 Mohawk Global。
Huntress 将 Termite 锁定的漏洞确定为 CVE-2024-50623,这是 5.8.0.21 之前的 Cleo Harmony、VLTrader 和 LexiCom 版本中未经身份验证的远程代码执行 (RCE) 缺陷。 Cleo 在 10 月披露了该漏洞,并敦促客户立即将受影响的产品升级到修复版本 5.8.0.21。
然而,Huntress 说,该补丁似乎还不够,因为所有以前受影响的 Cleo 软件版本,包括修补后的 5.8.0.21,仍然容易受到同一 CVE 的攻击。“这个漏洞正在野外被积极利用,运行 5.8.0.21 的完全修补系统仍然可以被利用,”Huntress 研究员约翰·哈蒙德 (John Hammond) 写道。“我们强烈建议您将任何暴露在 Internet 上的 Cleo 系统移动到防火墙后面,直到发布新补丁。”
使用补丁
Cleo 已经承认了这个问题,并表示它计划为该漏洞发布一个新的 CVE 或标识符。在一份电子邮件声明中,公司发言人将该漏洞描述为一个关键问题。该声明指出,Cleo 已将威胁通知客户,并建议他们如何在其补丁可用之前减少暴露。“我们的调查正在进行中,”声明说。“我们鼓励客户定期查看 Cleo 的安全公告网页以获取更新。”
Hammond 表示,Huntress 对威胁行为者漏洞利用后活动的分析表明,攻击者部署了类似 Web shell 的功能,以便在受感染的端点上建立持久性。Huntress 还观察到威胁行为者使用 nltest.exe 和其他域侦查工具列举潜在的 Active Directory 资产。
在对 Dark Reading 的评论中,Huntress 对手战术主管 Jamie Levy 表示,现有证据表明 Termite 可能是肇事者。她说,与持续攻击的受害者一样,Blue Yonder 也有一个向 Internet 开放的 Cleo 软件实例。Levy 指出,Termite 声称 Blue Yonder 是其受害者之一,并通过公开列出属于该公司的文件似乎证实了这一点。
新的 Cl0p?
“有一些传言说 Termite 可能是新的 Cl0p,”Levy 说,并且已经出现的数据似乎证实了这些说法。此外,Cl0p 的活动有所减弱,而 Termite 的活动有所增加。两者都以类似的方式运作。“我们并没有真正参与归因游戏,但如果我们现在看到这些勒索软件团伙发生了变化,那也就不足为奇了,”Levy 说。
Huntress 安全运营高级总监 Max Rogers 将新的 Cleo 零日漏洞描述为,攻击者可以使用漏洞利用代码轻松访问 Cleo 系统。“最有效的直接行动是确保受影响的系统无法从 Internet 访问,这大大降低了被利用的风险。”
Rogers 还建议组织禁用 Cleo 软件中的自动运行功能,以在等待更新的补丁时限制攻击面。“但是,此时,”他说,“唯一保证保护系统的方法是使它们无法通过 Internet 访问,直到有新的补丁发布。
信息来源:https://www.darkreading.com/cyberattacks-data-breaches/termite-ransomware-behind-cleo-zero-day-attacks
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局