Хакерське угруповання Clop офіційно взяло на себе відповідальність за масштабну серію кібератак, спрямованих на експлуатацію критичної вразливості в програмних продуктах компанії Cleo. Зловмисники успішно використали вразливість нульового дня в рішеннях LexiCom, VLTransfer та Harmony для проникнення в корпоративні мережі та викрадення конфіденційних даних.
Технічний аналіз вразливості та її наслідків
Виявлена вразливість вразила продукти Cleo до версії 5.8.0.21, які призначені для безпечної передачі файлів між системами. Критичний недолік дозволяв зловмисникам здійснювати необмежене завантаження та вивантаження довільних файлів, що створювало можливість віддаленого виконання коду. Особливу увагу привертає той факт, що дана вразливість фактично є обходом попереднього патчу для CVE-2024-50623, випущеного в жовтні 2024 року.
Масштаб впливу та постраждалі організації
Ситуація викликає серйозне занепокоєння через широке поширення продуктів Cleo, якими користуються понад 4000 компаній по всьому світу, включаючи такі корпоративні гіганти як Target, Walmart та FedEx. За даними досліджень Sophos, ознаки компрометації систем вже виявлено більш ніж на 50 серверах, переважно на території США.
Дослідження шкідливого програмного забезпечення
Фахівці з кібербезпеки провели детальний аналіз використаного зловмисниками шкідливого ПЗ. Виявлений малвар, названий Malichus, представляє собою закодоване JAR-шкідливе програмне забезпечення, що є частиною більш масштабного фреймворку для постексплуатації на базі Java. Незважаючи на підтримку як Windows, так і Linux, атаки переважно фіксувалися в Windows-середовищах.
Заходи протидії та рекомендації з безпеки
Компанія Cleo випустила оновлений патч і наполегливо рекомендує всім користувачам терміново оновити програмне забезпечення до версії 5.8.0.24. Організаціям, які не можуть здійснити негайне оновлення, рекомендується тимчасово вимкнути функцію автозапуску для мінімізації ризиків компрометації систем.
Група Clop заявила про завершення своєї кампанії атак на Cleo та анонсувала видалення викрадених даних зі свого серверу витоків. Хакери підтвердили свою політику уникнення атак на державні установи та медичні заклади. Водночас зв’язок між Clop та новою групою Termite залишається непідтвердженим. Експерти з кібербезпеки продовжують моніторинг ситуації та рекомендують організаціям посилити заходи захисту критичної інфраструктури.