最近几年骇客锁定MFT档案传输系统下手的情况,陆续传出事故,其中又以去年5月发生的MOVEit Hack事故最为严重,全球估计超过2,600家企业组织受害,外泄近9千万笔个资,到了值得留意的是,攻击者疑似针对一项10月底公布的漏洞CVE-2024-50623而来,但研究人员指出,Cleo当时发布的更新5.8.0.21版修补不全,攻击者照样能对上述完全修补的系统利用该漏洞发动攻击,他们也向Cleo通报此事,并呼吁用户将曝露于网际网路的MFT系统移至防火墙后方,以免成为攻击者下手的目标。
究竟攻击如何发生?研究人员根据MFT系统的事件记录进行分析,指出攻击者一开始很可能在autorun资料夹植入名为healthchecktemplate.txt的档案,而在MFT系统侦测到就立即进行读取、解译,并确认目标系统的版本后,便汇入特定的本机暂存档案(.TMP),而此档实际上是ZIP压缩档,当中内含main.xml档案,攻击者借此启动PowerShell命令,并执行程式码。而对于攻击者下达命令的确切内容,研究人员表示,碍于healthchecktemplate.txt执行后就自行删除,他们无从得知相关资讯。
在攻击者执行PowerShell命令后,受害电脑会连到外部IP位址并搜寻JAR档案,以便后续于受害电脑植入Web Shell,使得攻击者能持续于MFT系统活动。
而对于攻击的来源,研究人员发现6个IP位址,来自摩尔多瓦、荷兰、加拿大、立陶宛、美国。截至目前为止,至少有10家企业组织受害,涵盖消费性产品、食品工业、货运、物流业。这波攻击在8日出现大幅增加的情况。
Huntress也向Cleo通报漏洞修补不全的情况,并提供概念性验证(PoC)。Cleo确认研究人员的发现,并准备登记新的CVE编号,打算在一周内发布新的修补程式。
这样的情况得到资安专家Kevin Beaumont证实,他透露而对于攻击者的身分,Kevin Beaumont指出,很有可能就是日前