Хакеры из Clop взяли на себя ответственность за эксплуатацию критической уязвимости в ПО Cleo

CyberSecureFox 🦊

Вымогательская группировка Clop официально подтвердила свою причастность к масштабной кампании кибератак, направленных на эксплуатацию критической уязвимости в программных продуктах компании Cleo. Злоумышленники использовали уязвимость нулевого дня в решениях LexiCom, VLTransfer и Harmony для компрометации корпоративных сетей и кражи конфиденциальных данных.

Технические детали уязвимости и её исправление

Обнаруженная уязвимость затронула продукты Cleo вплоть до версии 5.8.0.21, предназначенные для безопасной передачи файлов. Критический баг позволял злоумышленникам осуществлять неограниченную загрузку и скачивание произвольных файлов, что приводило к возможности удаленного выполнения кода. Примечательно, что данная уязвимость представляет собой обход предыдущего патча для CVE-2024-50623, выпущенного в октябре 2024 года.

Масштаб потенциального воздействия

Ситуация вызывает особую обеспокоенность, учитывая, что решениями Cleo пользуются более 4000 компаний по всему миру, включая крупнейшие корпорации, такие как Target, Walmart, FedEx и другие. По данным экспертов Sophos, признаки компрометации уже обнаружены более чем на 50 хостах, преимущественно на территории США.

Анализ вредоносного ПО

Специалисты по кибербезопасности из Rapid7, Huntress и Binary Defense провели детальный анализ используемой злоумышленниками малвари. Вредоносное ПО, получившее название Malichus, представляет собой закодированную JAR-малварь, являющуюся частью более масштабного фреймворка для постэксплуатации на базе Java. Хотя вредонос поддерживает как Windows, так и Linux, атаки фиксировались преимущественно на Windows-системах.

Рекомендации по защите

Разработчики Cleo выпустили обновленный патч и настоятельно рекомендуют всем клиентам обновиться до версии 5.8.0.24. Организациям, которые не могут произвести немедленное обновление, рекомендуется временно отключить функцию автозапуска для минимизации рисков компрометации.

Группировка Clop заявила о завершении своей кампании атак на Cleo и анонсировала удаление всей ранее похищенной информации со своего сервера утечек. При этом хакеры подтвердили свою политику ненападения на государственные службы и медицинские учреждения, как это было в случае с атаками на MOVEit Transfer. Связь между Clop и недавно появившейся группировкой Termite, также атаковавшей корпоративные цели, остается неподтвержденной.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.