هکرها موج دیگری از هک های انبوه را با هدف قرار دادن ابزارهای انتقال فایل شرکت راه اندازی کردند

محققان امنیتی پس از دستگیری هکرها در حال سوء استفاده از یک آسیب پذیری جدید کشف شده در ابزار محبوب انتقال فایل که توسط هزاران سازمان برای راه اندازی موج جدیدی از حملات انبوه استخراج داده ها استفاده می شود، زنگ خطر را به صدا در می آورند.

این آسیب‌پذیری بر نرم‌افزار انتقال فایل مدیریت‌شده MOVEit Transfer (MFT) که توسط Ipswitch، یکی از شرکت‌های تابعه Progress Software در ایالات متحده توسعه یافته است، تأثیر می‌گذارد که به سازمان‌ها اجازه می‌دهد فایل‌ها و مجموعه‌های داده بزرگ را از طریق اینترنت به اشتراک بگذارند. Progress روز چهارشنبه تایید کرد که آسیب‌پذیری را در MOVEit Transfer کشف کرده است که «می‌تواند منجر به افزایش امتیازات و دسترسی غیرمجاز احتمالی به محیط شود» و از کاربران خواست ترافیک اینترنت را در محیط MOVEit Transfer خود غیرفعال کنند.

پچ ها در دسترس هستند و Progress از همه مشتریان می خواهد که فوراً آن را اعمال کنند.

آژانس امنیت سایبری ایالات متحده CISA همچنین از سازمان‌های آمریکایی می‌خواهد که مراحل کاهش پیشرفت را دنبال کنند، به‌روزرسانی‌های لازم را اعمال کنند و هرگونه فعالیت مخرب را دنبال کنند.

ابزارهای انتقال فایل شرکتی به یک هدف جذاب برای هکرها تبدیل شده اند، زیرا یافتن یک آسیب پذیری در یک سیستم محبوب سازمانی می تواند امکان سرقت داده ها از چندین قربانی را فراهم کند.

Jocelyn VerVelde، سخنگوی Progress از طریق یک آژانس روابط عمومی خارجی، از بیان اینکه چه تعداد سازمان از ابزار انتقال فایل آسیب دیده استفاده می کنند، خودداری کرد، اگرچه وب سایت شرکت بیان می کند که این نرم افزار توسط “هزاران سازمان در سراسر جهان” استفاده می شود. Shodan، یک موتور جستجو برای دستگاه‌ها و پایگاه‌های داده در معرض عموم، بیش از 2500 سرور MOVEit Transfer قابل کشف در اینترنت را نشان می‌دهد که اکثر آنها در ایالات متحده و همچنین در ایالات متحده واقع شده‌اند. انگلستان، آلمان، هلند و کانادا.

این آسیب پذیری همچنین بر مشتریانی که به پلتفرم ابری MOVEit Transfer متکی هستند، تأثیر می گذارد. به گفته محقق امنیتی کوین بومونت. به گفته Beaumont، حداقل یک نمونه افشا شده به وزارت امنیت داخلی ایالات متحده متصل است و اعتقاد بر این است که چندین “بانک بزرگ” نیز مشتریان MOVEI هستند.

چندین شرکت امنیتی می گویند که قبلاً شواهدی از بهره برداری را مشاهده کرده اند.

Mandiant گفت در حال بررسی است “چند نفوذ” مربوط به بهره برداری از آسیب پذیری MOVEit. چارلز کارماکال، افسر ارشد فناوری Mandiant تأیید کرد که Mandiant “شواهدی از استخراج داده‌ها در چندین قربانی دیده است.”

استارت‌آپ امنیت سایبری Huntress در یک پست وبلاگی گفت که یکی از مشتریانش «یک زنجیره حمله کامل و همه شاخص‌های منطبق سازش» را دیده است.

در همین حال، شرکت تحقیقاتی امنیتی Rapid7 تأیید کرد که نشانه‌هایی از بهره‌برداری و سرقت داده‌ها را از «حداقل چهار حادثه جداگانه» مشاهده کرده است. کیتلین کاندون، مدیر ارشد تحقیقات امنیتی در Rapid7، گفت که این شرکت شواهدی را دیده است که نشان می‌دهد مهاجمان ممکن است بهره‌برداری خودکار را آغاز کرده باشند.

در حالی که مشخص نیست دقیقا چه زمانی بهره برداری آغاز شد، استارتاپ اطلاعاتی تهدید GreyNoise گفت که فعالیت اسکن را در اوایل 3 مارس مشاهده کرده است و از کاربران می خواهد تا سیستم ها را برای هر گونه شاخص دسترسی غیرمجاز که ممکن است در 90 روز گذشته رخ داده است، بررسی کنند.

هنوز مشخص نیست که چه کسی مسئول بهره برداری انبوه از سرورهای MOVEit است.

Condon از Rapid7 به TechCrunch گفت که به نظر می رسد رفتار مهاجم “به جای هدفمند” فرصت طلبانه است، و اضافه کرد که این “می تواند کار یک عامل تهدید کننده باشد که یک سوء استفاده بی رویه به سمت اهداف افشا شده پرتاب می کند.”

این آخرین تلاش هکرها و گروه های اخاذی برای هدف قرار دادن سیستم های انتقال فایل سازمانی در سال های اخیر است.

در ژانویه، باند باج افزار Clop مرتبط با روسیه مسئولیت بهره برداری انبوه از یک آسیب پذیری در نرم افزار انتقال فایل مدیریت شده GoAnywhere Fortra. بیش از 130 سازمان از GoAnywhere مورد هدف قرار گرفتند، از جمله شرکت مراقبت های بهداشتی مستقر در فلوریدا NationBenefits، ارائه دهنده مجازی درمانی خط روشنو شهر تورنتو

Clop همچنین پشت حمله گسترده دیگری به یکی دیگر از ابزارهای محبوب انتقال فایل در سال 2021 بود. این باند ابزار اشتراک فایل Accellion را برای حمله به تعدادی از سازمان‌ها، از جمله مورگان استنلی، دانشگاه کالیفرنیا، غول مواد غذایی کروگر و شرکت حقوقی جونز دی.