Компания NCC Group предупреждает о всплеске атак шифровальщика Clop (хак-группа также известна как TA505 и FIN11), причем большинство из них начинается с эксплуатации бага CVE-2021-35211 в Serv-U Managed File Transfer и Serv-U Secure FTP, пишет Хакер. Эта проблема позволяет удаленному злоумышленнику выполнять команды с повышенными привилегиями на уязвимом сервере.
Компания SolarWinds исправила этот баг еще в июле 2021 года, после обнаружения «единственного злоумышленника», который использовал эту уязвимость в атаках. Тогда компания предупредила, что уязвимость затрагивает только клиентов, включивших функцию SSH, а отключение SSH препятствует эксплуатации бага.
Как теперь сообщает NCC Group, операторы Clop тоже стали использовать эту уязвимость в своих атаках, хотя обычно они полагались на эксплантацию 0-day проблем в Accellion и фишинговые электронные письма с вредоносными вложениями. Теперь же злоумышленники используют Serv-U для запуска подконтрольного им подпроцесса, что позволяет запускать команды в целевой системе. Это открывает путь для развертывания малвари, сетевой разведки и бокового перемещения, создавая надежную платформу для вымогательской атаки.
Характерным признаком использования этой уязвимости являются определенные ошибки в логах Serv-U. Так, ошибка должны быть похожа на следующую строку:
‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’
Еще одним признаком эксплуатации бага являются следы выполнения команды PowerShell, которая используется для развертывания маяков Cobalt Strike в уязвимой системе.
NCC Group опубликовала контрольный список для системных администраторов, по которому можно проверить системы на признаки компрометации:
Исследователи отмечают, что больше всего уязвимых экземпляров Serv-U FTP находятся в Китае и США.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.