Вымогательская группировка Clop официально подтвердила свою причастность к масштабной кампании кибератак, направленных на эксплуатацию критической уязвимости в программных продуктах компании Cleo. Злоумышленники использовали уязвимость нулевого дня в решениях LexiCom, VLTransfer и Harmony для компрометации корпоративных сетей и кражи конфиденциальных данных.
Технические детали уязвимости и её исправление
Обнаруженная уязвимость затронула продукты Cleo вплоть до версии 5.8.0.21, предназначенные для безопасной передачи файлов. Критический баг позволял злоумышленникам осуществлять неограниченную загрузку и скачивание произвольных файлов, что приводило к возможности удаленного выполнения кода. Примечательно, что данная уязвимость представляет собой обход предыдущего патча для CVE-2024-50623, выпущенного в октябре 2024 года.
Масштаб потенциального воздействия
Ситуация вызывает особую обеспокоенность, учитывая, что решениями Cleo пользуются более 4000 компаний по всему миру, включая крупнейшие корпорации, такие как Target, Walmart, FedEx и другие. По данным экспертов Sophos, признаки компрометации уже обнаружены более чем на 50 хостах, преимущественно на территории США.
Анализ вредоносного ПО
Специалисты по кибербезопасности из Rapid7, Huntress и Binary Defense провели детальный анализ используемой злоумышленниками малвари. Вредоносное ПО, получившее название Malichus, представляет собой закодированную JAR-малварь, являющуюся частью более масштабного фреймворка для постэксплуатации на базе Java. Хотя вредонос поддерживает как Windows, так и Linux, атаки фиксировались преимущественно на Windows-системах.
Рекомендации по защите
Разработчики Cleo выпустили обновленный патч и настоятельно рекомендуют всем клиентам обновиться до версии 5.8.0.24. Организациям, которые не могут произвести немедленное обновление, рекомендуется временно отключить функцию автозапуска для минимизации рисков компрометации.
Группировка Clop заявила о завершении своей кампании атак на Cleo и анонсировала удаление всей ранее похищенной информации со своего сервера утечек. При этом хакеры подтвердили свою политику ненападения на государственные службы и медицинские учреждения, как это было в случае с атаками на MOVEit Transfer. Связь между Clop и недавно появившейся группировкой Termite, также атаковавшей корпоративные цели, остается неподтвержденной.