Lỗ hổng nghiêm trọng trong MOVEit Transfer – Các tổ chức có thể làm gì để giữ an toàn?

Ngay sau khuyến nghị của CISA #StopRansomware ngày 7 tháng 6 đề cập đến việc băng nhóm ransomware CL0P khai thác lỗ hổng trong ứng dụng truyền tệp MOVEit, CL0P đã trở thành tâm điểm của báo chí khi công bố một “trang web rò rỉ” nêu tên hàng chục nạn nhân bao gồm các tổ chức, doanh nghiệp của Mỹ, Đức, Bỉ, Thụy Sĩ và Canada. Mặc dù các hãng tin đã nhanh chóng cập nhật danh sách các cơ quan chính phủ và tổ chức bị ảnh hưởng, tuy nhiên các tổ chức cơ sở hạ tầng quan trọng nên biết về CL0P và các biện pháp đảm bảo để không trở thành nạn nhân của kẻ tấn công.

Ransomware CLOP là gì?

Được phát hiện lần đầu tiên vào năm 2019, Ransomware CLOP là một biến thể của dòng ramsomware Crypto mix. Băng đảng ransomware CLOP (còn được gọi là TA505) bắt đầu với một chiến dịch email lừa đảo quy mô lớn, từ đó nổi tiếng với các chiến thuật, kĩ thuật và quy trình thay đổi liên tục (TTP). Trong những năm qua, Ransomware as a Service đã được sử dụng để khai thác thành công các lỗ hổng nhằm tống tiền với hàng trăm triệu đô la từ các tổ chức và cơ quan chính phủ trên toàn thế giới. Đến năm 2020, CLOP tập trung vào các lỗ hổng Zero – Day trong các ứng dụng truyền tệp cũ.

Dựa vào thông tin được công khai, CLOP bắt đầu khai thác lỗ hổng SQL injection chưa từng xuất hiên trước đó( CVE-2023-34362 ) trong MOVEit Transfer, một giải pháp truyền tệp được quản lý (MFT) từ Progress Software. Lỗ hổng này đã được thêm vào danh mục Các lỗ hổng bị khai thác đã biết (KEVs) của CISA vào ngày 2/6 . Các ứng dụng web MOVEit Transfer phải đối mặt với Internet đã bị nhiễm một web shell có tên LEMURLOOT, sau đó được sử dụng để đánh cắp dữ liệu từ cơ sở dữ liệu MOVEit Transfer cơ bản. CL0P sau đó đã đăng một thông điệp trên trang web .onion của họ kêu gọi các tổ chức đang sử dụng MOVEit Transfer tại thời điểm bị tấn công liên lạc với họ để sắp xếp thanh toán nhằm ngăn chặn việc tiết lộ công khai thông tin nhạy cảm của công ty.

Thông báo được đăng trên trang .onion của CL0P

Phải làm gì nếu tổ chức sử dụng MOVEit ?

Trong khuyến cáo ngày 7/ 6(cập nhật ngày 16 tháng 6) CISA khuyên các tổ chức sử dụng MOVEit nên ngay lập tức:

• Kiểm kê tài sản và dữ liệu, xác định các thiết bị và phần mềm được ủy quyền và trái phép.
• Cấp đặc quyền quản trị và chỉ truy cập khi cần thiết, thiết lập danh sách cho phép phần mềm chỉ thực thi các ứng dụng hợp pháp.
• Giám sát các cổng, giao thức và dịch vụ mạng, kích hoạt cấu hình bảo mật trên các thiết bị cơ sở hạ tầng mạng như tường lửa và bộ định tuyến.
• Thường xuyên vá và cập nhật phần mềm và ứng dụng lên phiên bản mới nhất của chúng và tiến hành đánh giá lỗ hổng thường xuyên.

Các tổ chức cơ sở hạ tầng quan trọng nên làm gì với CL0P?

Mặc dù một số cơ sở hạ tầng quan trọng dường như đã bị ảnh hưởng bởi hoạt động CLOP mới nhất này nhưng họ không bị nhắm mục tiêu trực tiếp bởi băng đảng CLOP. Mặc dù đây là một cuộc tấn công cơ hội, nhưng những lần khai thác mới nhất này là một lời nhắc nhở rằng khi thế giới IT và OT hội tụ  và ngày càng phụ thuộc lẫn nhau, thì cần phải có các biện pháp để tăng cường cả khả năng phòng thủ an ninh và khả năng phục hồi chống lại tội phạm mạng.

Để giảm thiểu tác động của kỹ thuật T0819: Khai thác ứng dụng công khai , đ điều quan trọng là không chỉ giảm các dịch vụ tiếp xúc công khai đến mức tối thiểu tuyệt đối mà còn giả định thêm rằng bất kỳ dịch vụ tiếp xúc công khai nào cũng có thể bị xâm phạm bằng cách sử dụng khai thác lỗ hổng chưa biết công khai. Ngoài việc thường xuyên cập nhật phần mềm và quét các lỗ hổng, một mô hình mối đe dọa nên giả định rằng những kẻ tấn công cuối cùng sẽ đưa ra một phương pháp để thỏa hiệp một dịch vụ được công khai. Một số nỗ lực này có thể bị cản trở bằng cách ngăn chặn tải trọng độc hại tiếp cận mục tiêu của chúng bằng cách sử dụng các công nghệ như Tường lửa ứng dụng web ( M0950: Exploit Protection). Tuy nhiên, các tổ chức cũng nên giả định rằng những công nghệ này cũng có thể bị bỏ qua và tập trung vào việc hạn chế các tùy chọn mà kẻ tấn công thành công có khi nó di chuyển theo chiều ngang. Phân đoạn mạng ( M0930: Phân đoạn mạng ) của các máy chủ truy cập internet có thể hạn chế các tùy chọn mà kẻ tấn công có. Nếu không thể phân đoạn mạng nghiêm ngặt, đó là trường hợp khi nói đến phần mềm cung cấp quản lý tài nguyên tập trung, điều quan trọng là phải nhanh chóng phát hiện và ngăn chặn những kẻ tấn công.

Chuyển động của những kẻ tấn công đã xâm nhập thành công mạng có thể được phát hiện khi chúng cố gắng hiểu mạng mà chúng đang ở trong đó và di chuyển ngang qua mạng đó để trích xuất thông tin nhạy cảm nhằm sử dụng cho các nỗ lực tống tiền. Với việc giám sát mạng và máy chủ tại chỗ, các nhà khai thác sẽ được cảnh báo về chuyển động bất thường này và có thể giảm thiểu tác động của vi phạm.

Bảo vệ hệ thống mạng với Nozomi Network

Khách hàng sử dụng phiên bản hiện tại của dịch vụ Nozomi Networks Threat Intelligence sẽ tự động nhận được các phát hiện và chỉ báo xâm phạm mới nhất cho các chiến dịch được đề cập ở trên. Cụ thể, Nozomi Networks cung cấp các phát hiện cho cơ sở hạ tầng mạng được CLOP sử dụng cho các chiến dịch MOVEit, GoAnywhere; cho các mẫu phần mềm độc hại như TrueBot, LEMURLOOT và các mẫu khác được nhóm sử dụng.

Phát hiện có thể được tìm thấy trong các tập tin sau:

• ENTERPRISE_WEBSHELL_Generic_Aspx-MOVEit.yar.content
• ENTERPRISE_WEBSHELL_Generic_Aspx-MOVEit_2.yar.content
• ENTERPRISE_EXPLOIT_Generic_MOVEit-ioc.json.content
• ENTERPRISE_RANSOMWARE_(TA505)Generic_CL0P.json.content
• ENTERPRISE_DOWNLOADER_(TA505)Truebot_samples.json.content
• ENTERPRISE_WEBSHELL_(TA505)LEMURLOOT_samples.json.content
• ENTERPRISE_RANSOMWARE_(TA505)Fortra-GoAnywhere_Jan-Jun-IPs.json.content
• ENTERPRISE_RANSOMWARE_(TA505)MoveIt_June-May-IPs.json.content

Máy chủ đang chạy phiên bản dễ bị tấn công của quá trình truyền MOVEit.

Ngoài ra, sau khi xâm nhập thành công, các hành động của kẻ tấn công thường có thể được phát hiện bằng cách sử dụng phát hiện bất thường, đặc biệt là khi kẻ tấn công cố gắng ‘life off land’, tiến hành các hoạt động trinh sát hoặc trích xuất dữ liệu.