CVE-2024-50623 в действии: как хакеры Clop обошли защиту MFT от Cleo

Кибергруппа Clop заявила о своей причастности к недавним атакам на платформы Cleo Harmony, VLTrader и LexiCom, используемые для защищённого обмена файлами. Злоумышленники воспользовались уязвимостью CVE-2024-50623, исправленной в октябре, но позднее обнаруженной в обходном виде.

Решения компании Cleo обеспечивают автоматизацию, контроль и защиту файловых операций, что делает их востребованными в сферах, где важны конфиденциальность и надёжность передачи данных. Однако последние инциденты с уязвимостью в их платформах поставили под сомнение уровень их безопасности.

9 декабря эксперты Huntress сообщили, что первоначальная защита Cleo оказалась недостаточной. Угроза заключалась в возможности загрузки Java-бэкдора, позволяющего красть данные, запускать команды и получать доступ к сетям компаний.

Агентство CISA подтвердило активную эксплуатацию уязвимости в Cleo для атак с применением программ-вымогателей. Однако сама компания Cleo не опубликовала информацию о том, что исправленный ранее баг уже использовался злоумышленниками.

Изначально атаку связывали с новой группировкой Termite, но данные Huntress указывали на схожесть методов с операциями Clop. Представители последней позже лично подтвердили свою причастность, заявив журналистам, что «заботятся» о безопасности данных и удаляют чувствительную информацию, относящуюся к государственным учреждениям, медицине и научным исследованиям.

Кроме того, на своём сайте Clop разместили сообщение о том, что все ссылки на ранее украденные данные отключены, а информация уничтожена. В дальнейшем группировка планирует работать только с новыми целями, связанными с атаками на Cleo.

Clop специализируется на атаках через платформы передачи данных, эксплуатируя ранее неизвестные уязвимости. Среди их жертв — платформы Accellion FTA, SolarWinds Serv-U и MOVEit Transfer. В последнем случае злоумышленники похитили данные более чем 2700 организаций.

На момент публикации не сообщается, сколько компаний пострадали в результате атак на Cleo. Государственный департамент США предлагает вознаграждение в $10 млн за информацию, связывающую Clop с иностранными правительствами.