[05/06/2023] Tras la noticia de la semana pasada de que una vulnerabilidad crítica en una aplicación Web de transferencia segura de archivos llamada MOVEit Transfer estaba siendo explotada por piratas informáticos, está saliendo a la luz más información. Microsoft vinculó algunos de los ataques a un actor de amenazas asociado a la banda de ransomware Clop.
"Microsoft está atribuyendo los ataques que explotan la vulnerabilidad de día cero CVE-2023-34362 MOVEit Transfer a Lace Tempest, conocido por sus operaciones de ransomware y por dirigir el sitio de extorsión Clop", señaló el equipo de Inteligencia de Amenazas de Microsoft en Twitter. "El actor de la amenaza ha utilizado vulnerabilidades similares en el pasado para robar datos y extorsionar a las víctimas".
Esta no es la primera vez que los atacantes asociados con la operación de ransomware Clop han explotado vulnerabilidades en las herramientas de transferencia de archivos administrados (MFT) de la empresa. En enero, la banda explotó una vulnerabilidad de ejecución remota de código de día cero (CVE-2023-0669) en GoAnywhere MFT, y afirmó haber robado datos de 130 organizaciones. En el 2020, miembros de la banda explotaron una falla de día cero en Accellion File Transfer Appliance (FTA).
La campaña MOVEit Transfer podría tener un impacto aún mayor, ya que hay alrededor de tres mil despliegues de esta aplicación expuestos a Internet, frente a unos mil de GoAnywhere. Zellis, un proveedor británico de nóminas utilizado por empresas como British Airways, Boots y la BBC, ya ha confirmado una brecha a través de la vulnerabilidad de MOVEit. Mandiant, empresa de inteligencia sobre amenazas y respuesta a incidentes propiedad de Google, informó que los ataques comenzaron el 27 de mayo, y ya han afectado a organizaciones que operan en una amplia gama de industrias con sede en Canadá, India y Estados Unidos.
Shells web que conducen al robo de datos
Según Microsoft, tras el éxito del exploit, los atacantes se autentican como el usuario con más privilegios del sistema y despliegan una shell web con capacidad de exfiltración de datos. Mandiant ha bautizado la shell como LEMURLOOT y afirma que está diseñada para interactuar con la plataforma MOVEit.
La shell web espera que se incluya una cadena determinada en las cabeceras de las peticiones, que actúa como contraseña para autenticar a los atacantes y permitirles emitir comandos. Uno de los comandos indica al script que recupere la configuración relacionada con Azure de la aplicación MOVEit Transfer, incluido el ataque al almacenamiento Azure Blob y la clave asociada. Esto permite a los atacantes realizar consultas SQL para enumerar las carpetas y archivos almacenados en Azure y recuperar cualquiera de ellos en formato comprimido.
Según un análisis actualizado realizado por investigadores de la firma de seguridad Rapid7, todos los compromisos observados desplegaron el shell web con el nombre human2.aspx en la carpeta wwwroot del directorio de instalación de MOVEit. También existe un archivo legítimo llamado human.aspx que forma parte de la interfaz web de MOVEit.
Los investigadores de Rapid7 también han identificado una forma de determinar qué archivos han sido filtrados por los atacantes. MOVEit puede mantener registros de eventos de Windows y algunos clientes habilitan esta funcionalidad, lo que hará que la información se registre en un archivo llamado C:\Windows\System32\winevt\Logs\MOVEit.evtx. Si existe, este archivo debe contener información sobre las descargas de archivos, como el nombre del archivo, la ruta del archivo, el tamaño del archivo, la dirección IP y el nombre de usuario que realizó la descarga.
La aplicación MOVEit también almacena registros de auditoría en su base de datos, que pueden consultarse para obtener información similar. El equipo de Progress Software, desarrollador de MOVEit Transfer, señaló que los administradores pueden crear un informe personalizado utilizando la función de informes integrada en la aplicación para listar todas las descargas de archivos de los meses de mayo y junio:
- Campos: *
- Tablas: log
- Criterios: Action = 'file_download' AND (LogTime LIKE '2023-05%' OR LogTime LIKE '2023-06%')
Aunque el web shell se dirige particularmente a las bases de datos de Azure, cualquier motor de base de datos soportado por MOVEit puede ser explotado a través de la vulnerabilidad CVE-2023-34362, por lo que las organizaciones deberían desplegar el parche disponible lo antes posible.
"Aunque Mandiant no dispone actualmente de pruebas suficientes para atribuir esta reciente actividad a un actor de amenazas conocido, recuerda a anteriores eventos de explotación masiva dirigidos a software de transferencia de archivos y que condujeron a la extorsión por robo de datos atribuida a FIN11 a través del sitio de fuga de datos (DLS) CL0P^_- LEAKS", afirmó Mandiant en su informe, insinuando una probable conexión con Clop. "En múltiples casos, varias semanas después de que los atacantes robaran los datos, FIN11 envió correos electrónicos exigiendo un pago de extorsión a cambio de no publicar los datos en el CL0P^_- LEAKS DLS".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú