0-day в MOVEit Transfer
Напомню, что все началось с 0-day уязвимости (CVE-2023-34362) в MOVEit Transfer, которую обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.
Злоумышленники использовали эту уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
В итоге аналитики Microsoft связали массовые атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вскоре хакеры начали выдвигать требования, вымогая выкупы у пострадавших компаний.
На данный момент, по данным экспертов компании Emsisoft, количество компаний-жертв превышает 230: пострадали не менее 20 школ в США и десятки университетов по всему миру. Суммарно утечки затронули информацию о 17-20 млн человек.
«Злоумышленник может отправить специально подготовленную полезную нагрузку на конечную точку приложения MOVEit Transfer, что может привести к изменению и раскрытию содержимого базы данных MOVEit», — сообщается в официальном бюллетене безопасности.