Разработчики Cleo выпустили патч, исправивший находящуюся под атаками уязвимость нулевого дня в LexiCom, VLTransfer и Harmony. При этом стало известно, что за массовой эксплуатацией этого бага стоит вымогательская группировка Clop.

Cleo RCE

Напомним, что об опасном баге в продуктах Cleo стало известно еще на прошлой неделе. Тогда сообщалось, что новая уязвимость представляет угрозу для таких продуктов компании как LexiCom, VLTrader и Harmony (вплоть до версии 5.8.0.21), предназначенных для безопасной передачи файлов. Уязвимость позволяет неограниченно загружать и скачивать произвольные файлы, что в итоге ведет к удаленному выполнению кода.

Как объясняли ИБ-эксперты, свежая уязвимость, которой пока не присвоен идентификатор CVE, является обходом патча для другого бага — CVE-2024-50623, исправленного разработчиками Cleo еще в октябре 2024 года. Так как этот патч оказался неэффективным, злоумышленники нашли способ его обхода и продолжили эксплуатировать уязвимость в атаках.

Проблема осложняется тем, что продуктами Cleo пользуются более 4000 компаний по всему миру, включая таких гигантов как Target, Walmart, Lowes, CVS, The Home Depot, FedEx, Kroger, Wayfair, Dollar General, Victrola и Duraflame.

В конце прошлой недели разработчики Cleo выпустили новый патч и рекомендовали всем клиентам как можно скорее обновиться до версии 5.8.0.24, чтобы защитить свои серверы от возможных атак. Всем, кто не сможет обновиться немедленно, разработчики советуют временно отключить функцию автозапуска.

К этому моменту используемую хакерами малварь успели изучить специалисты компаний Rapid7, Huntress и Binary Defense. По их данным, злоумышленники применяли закодированную JAR-малварь которая является частью более крупного фреймворка для постэксплуатации на базе Java.

Аналитики Huntress дали вредоносу название Malichus и сообщили, что тот был развернут только на устройствах под управлением Windows, хотя также поддерживает Linux. По данным Binary Defense, операторы малвари могли использовать Malichus для передачи файлов, выполнения команд и различного сетевого взаимодействия.

Стоит отметить, что в конце прошлой недели эксперты Sophos писали, что уже обнаружили признаки компрометации более чем на 50 хостах с продуктами Cleo (в основном на территории США).

Clop берет ответственность

Как ранее сообщал известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont), атаки на свежую уязвимость в Cleo могли быть связаны с новой вымогательской группировкой Termite. Совсем недавно эти злоумышленники скомпрометировали SaaS-компанию Blue Yonder, решения которой тоже используются множеством компаний по всему миру.

Однако теперь издание Bleeping Computer пишет, что ответственность за массовые взломы корпоративных сетей и кражу данных взяла на себя вымогательская группировка Clop. Так, хакеры сообщили журналистам, что именно они стоят за недавними атаками, изученными специалистами Huntress, а также за эксплуатацией оригинального бага CVE-2024-50623, исправленного в октябре.

Также злоумышленники напомнили, что удаляют любые украденные данные, если те оказываются связаны с государственными службами и медицинскими учреждениями, как делали ранее, после массовых атак на уязвимость в MOVEit Transfer.

Кроме того, группировка объявила, что теперь удалит со своего «сервера для утечек» всю информацию, связанную с прошлыми атаками, и отныне будет работать только с компаниями, взломанными в результате атак на уязвимость в Cleo.

Журналисты поинтересовались у представителей группировки, если ли какая-то связь между Clop и упомянутой выше группой Termite, однако на этот вопрос хакеры не ответили.

Теги: Новости, 0day, Cleo