ทีมข่าวกรองภัยคุกคามของ Microsoft รายงานว่าเหตุการณ์การโจมตีโดยใช้ช่องโหว่ MOVEit Transfer Zero Day (CVE-2023-34362) ไปยัง Lace Tempest มีความเกี่ยวข้องกับกลุ่ม Clop ransomware
BleepingComputer ได้รับรายงานการโจมตีโดยใช้ช่องโหว่ดังกล่าวจากกลุ่ม Hacker เพื่อขโมยข้อมูลเป็นครั้งแรกในวันที่ 1 มิถุนายน 2023 โดยเชื่อว่าการโจมตีเริ่มต้นขึ้นในวันที่ 27 พฤษภาคม ในช่วงวันหยุดยาววันรำลึกของสหรัฐฯ
MOVEit Transfer คือ managed file transfer (MFT) ที่ช่วยให้องค์กรสามารถถ่ายโอนไฟล์ระหว่างคู่ค้าทางธุรกิจ และลูกค้าได้อย่างปลอดภัยโดยใช้การอัปโหลดแบบ SFTP, SCP และ HTTP
โดย Hacker ใช้ช่องโหว่ MOVEit เพื่อติดตั้ง webshell ที่สร้างขึ้นมาเป็นพิเศษบนเซิร์ฟเวอร์ ทำให้สามารถดึงรายการไฟล์ที่จัดเก็บไว้ในเซิร์ฟเวอร์ ดาวน์โหลดไฟล์ และขโมยข้อมูล credentials/secret สำหรับคอนเทนเนอร์ Azure Blob Storage containers ที่กำหนดค่าไว้
ปัจจุบันยังไม่สามารถระบุได้ว่ากลุ่ม Hacker ใดที่อยู่เบื้องหลังการโจมตี แต่คาดว่ามีความเชื่อมโยงกับกลุ่ม Clop ransomware เนื่องจากพบความคล้ายคลึงกันในการโจมตีก่อนหน้านี้ของ Clop ransomware ซึ่งมีเป้าหมายการโจมตีไปยังซอฟต์แวร์ managed file transfer เช่น การโจมตี Accellion FTA server แบบ Zero-day ในปี 2020 และการโจมตี GoAnywhere MFT Zero-day ในเดือนมกราคม 2023
ปัจจุบันยังไม่พบว่ากลุ่ม Clop ransomware มีการเปิดเผยข้อมูล และข่มขู่เหยื่อจากการโจมตีด้วยช่องโหว่ของ MOVEit ซึ่งโดยปกติแล้วหลังจากเกิดการโจมตี อาจต้องใช้เวลาประมาณ 3 สัปดาห์ในการเปิดเผยข้อมูล และข่มขู่เหยื่อใน data leak site เพื่อให้เหยื่อยอมจ่ายค่าไถ่
ที่มา : bleepingcomputer
You must be logged in to post a comment.