鎖定MFT系統MOVEit攻擊事件近六百家企業機構遭殃,且規模持續擴大(截至7月31日)
· 2023-08-04

勒索軟體駭客組織Clop發起MFT檔案共享系統MOVEit Transfer零時差漏洞攻擊,近六百家企業機構遭殃,亦有部分組織因IT服務供應商遭受攻擊而受害,且規模持續擴大

這幾年以來,繼Accellion FTA、GoAnywhere等MFT檔案共用系統的用戶,傳出遭到大規模的零時差漏洞攻擊,導致使用者資料外洩,類似情況近期再度傳出。今年5月底,IT業者Progress發布公告,指出旗下的MFT解決方案出現零時差漏洞,且已有攻擊行動出現。

這起事故發生迄今快2個月,從當初有資安業者指出攻擊者的身分,到駭客組織坦承犯案、公布受害組織名單,後來則有部分企業與公家機關證實遭遇相關攻擊。但相較於先前的事故,這次有許多不同的地方。

首先,與前述的Accellion FTA、GoAnywhere事件相同,背後的攻擊者都是勒索軟體駭客Clop,但這次陸續浮出檯面的受害組織竟多達數百個,駭客分成多次公布名單,而且每次都引起不少關注。

:Mandiant、Progress、Bleeping Computer、KonBriefing、Coveware,iThome整理,2023年8月

另一方面,有別於過往事件證實受害的企業與政府機關,同時其檔案共用系統也遭遇攻擊,但這次出面公布遇害的組織,不少是因為IT服務供應商建置的MOVEit Transfer遭遇攻擊,導致自己的內部資料、客戶資料外洩而出面公告。

再者,這次駭客利用的漏洞是CVE-2023-34362(CVSS風險評分為9.8),而Progress在攻擊事件發生之後,委由資安業者Huntress,協助檢視MOVEit Transfer的程式碼,後續在一個月內,數次發現新的重大漏洞,部分漏洞在公布當下甚至尚未取得CVE編號,如此紊亂的修補狀態,也是前述幾起MFT系統遭攻擊事件所沒有出現的情形。

事件的首度揭露源自零時差漏洞公告

這起資安事件的曝光,主要與5月底Progress發布的漏洞公告有關。根據資安新聞網站Bleeping Computer的報導,駭客針對Progress公司旗下MFT檔案共享系統MOVEit Transfer的零時差漏洞,發動攻擊,竊取組織存放的檔案,且已有許多組織受害。

該新聞網站認為,駭客利用的漏洞與Progress在5月31日公布的SQL注入漏洞有關──此漏洞能允許未經身分驗證的攻擊者取得資料庫權限,而能截取MOVEit所採用的資料庫內容。

Progress呼籲IT人員,應暫時以防火牆停用該伺服器所有HTTP與HTTPS流量來因應。而根據Progress在該媒體提出的說明,雲端服務版本MOVEit Cloud也受到影響。當時,這個漏洞尚未取得CVE編號。

6月1日, Rapid7、Huntress、TrustedSec等多家資安業者指出,在網際網路上,約有2,500臺MOVEit Transfer伺服器曝露於這個資安風險,已遭攻擊的伺服器都出現檔名為human2.aspx的Web Shell,此指令碼會找尋受害伺服器存放的資料、Azure Blob儲存桶的帳密資料,以及從伺服器下載檔案。研究人員亦公布攻擊來源IP位址等入侵指標(IoC),供組織防範相關攻擊。

隨後,有其他資安業者提出更多細節。資安業者GreyNoise提出警告,在前述的資安通告裡,Progress呼籲IT人員檢查MOVEit Transfer近30天裡的事件記錄,確認是否出現未經授權的存取情形,但根據他們的觀察,在3月3日駭客就嘗試掃描該系統登入網頁的行動,因此,IT人員調查事件記錄的範圍,應至少延長至90天。資安業者Mandiant則認為,駭客開始利用零時差漏洞發動攻擊的時間點,是5月27日,當時是美國的陣亡將士紀念日假期。

而對於攻擊者的身分,微軟威脅情報團隊於5日表示,根據他們的調查,很有可能就是勒索軟體駭客組織Clop(該公司稱做Lace Tempest)所為,理由是該組織也曾利用類似的漏洞來竊取資料,並向受害組織勒索。

受害企業與組織不斷浮出檯面,表明受到攻擊

在微軟懷疑攻擊者的身分後,駭客組織Clop開始有所行動,同時也有企業與政府單位表明受害。在這些組織當中,有不少MOVEit Transfer,是IT服務業者維護的系統。

最早證實遭到攻擊的組織約於6月5日出現,包含了英國航空、英國廣播公司(BBC)、薪資系統服務供應商Zellis、加拿大新斯科舍省政府等。

其中,英國航空發出聲明,表示他們受到了Zellis的資安事件波及,而該事故與MOVEit Transfer檔案傳輸系統有關。Zellis也證實遭到攻擊,該業者的事故不只影響英國航空,還有BBC、愛爾蘭航空(Aer Lingus)、藥妝連鎖業者Boots受害。

而對於微軟的指控,Clop向資安新聞網站Bleeping Computer透露,這起攻擊行動就是他們所為,並宣稱開始發動攻擊的時間是5月27日,但不願透露入侵此種檔案共享系統伺服器的數量,僅表示他們即將向受害組織進行勒索,要求這些組織於6月14日前進行談判。

特別的是,這次駭客強調不向政府機關、軍事單位、兒童醫院索討贖金,他們已將從這些組織竊得的資料刪除。然而,這項說法是否正確,該新聞網站表示無從判斷。根據另一家資安新聞網站The Record的報導,Clop宣稱受害組織有數百家,但實際規模仍不得而知。

在駭客首度公布受害組織名單之前,還有IT服務業者PBI Research Services、美國羅徹斯特大學、英國電信主管機關Ofcom也表示遭駭,證實遭遇有關攻擊。

駭客多次公布受害組織名單

隨著駭客組織Clop設下的談判期限到來,他們也開始在暗網上的網站公布部分受害組織。

值得留意的是,雖然駭客聲稱有數百個組織受害,但他們分成多次公布部分名單,且初期每次的數量都不多,而使得遭到公布的組織都受到相當程度的關注。這樣分批揭露、細水長流的做法,也和這些駭客在GoAnywhere攻擊行動當中,一口氣將一百多個組織公布於網站的方式相當不同。

根據資安新聞網站Bleeping Computer的報導,勒索軟體Clop於6月14日公布1份受害組織名單,總共列出13個對象,其中包含了石油公司殼牌、保險公司UnitedHealthcare Student Resources、喬治亞大學(UGA)、喬治亞大學系統(USG)、精密印刷機械業者海德堡(Heidelberger Druckmaschinen)、歐洲渡假村集團Landal Greenparks。

對此,殼牌、Landal Greenparks證實有部分客戶資料外洩,海德堡則表示尚無資料外洩的跡象。此外,根據CNN的報導,美國能源部及多個聯邦機構也遭遇此次的零時差漏洞攻擊。

根據資安業者ReliaQuest 的追蹤,6月15日,這些駭客又公布14個受害組織。這些單位大部分來自美國,其中有3個為歐洲組織,分別是位於法國、瑞士、盧林堡的組織,而且,主要是金融服務業、但也有醫療保健、製藥廠,以及科技產業。

6月16日美國東部時間上午,又有10個受害組織被駭客列入名單,值得留意的是,這次開始有亞洲的組織出現。截至目前為止,駭客聲稱有37個組織遇害,其中美國組織最多,共有23個。而從這些企業的產業類型來看,有14個為金融服務業者,醫療保健業者、製藥及生物技術業者各有4家。

  

資安業者ReliaQuest於6月16日,彙整已確認受害的組織,其中逾半數受害組織(63%)位於美國,而從所屬產業的領域而言,金融服務業的比例最高(37%),醫療保健、科技業次之。 (/ReliaQuest

同日下午4時,研究人員看到駭客在網站新增3個組織。值得留意的是,他們發現其中一家企業向駭客表態拒絕妥協之後,駭客公布了該組織的遭竊資料。

6月19日,勒索軟體駭客Clop公布11個新的受害組織,且開始有澳洲的組織被列入名單。此外,對於本次公布的名單,有1個組織的部分遭竊資料也被駭客洩露。

隔日,駭客又再公布其中一家受害組織的資料,但研究人員指出,與前2家組織資料被公布的情況不同,駭客一口氣公布所有從該組織偷到的檔案。21日,駭客再公布2家受害組織的資料,並針對近期媒體的報導提出說明,表明他們是唯一利用這項零時差漏洞的駭客組織,他們的目的就是為了賺錢。

6月22日,Clop於網站上增列4個組織,其中包含2家會計師事務所及1家科技公司。同時,駭客也洩露2個組織的資料。

到了23日,這些駭客公布2個新的受害組織名稱,並洩露5個組織的資料。截至目前為止,有58個組織被列於駭客的網站上。

Bleeping Computer、SecurityWeek,iThome整理,2023年8月

接下來,這些駭客陸續又增列一些受害組織,到了 7月5日,研究人員看到36個新列入的組織。截至28日,該駭客組織總共公布受害的企業、政府機關,累計超過250個。

受害規模持續擴大,亦有不少組織受到第三方供應商牽連

而針對這起事故的受害規模,我們也可以從另一家資安業者Emsisoft的說法,來看出影響程度不同以往。該公司指出,截至7月26日,有接近500個組織、近2,400萬人的資料因本次事件而曝險。

研究人員看到駭客在網站公布206個組織,另一方面,有超過136個組織非MOVEit Transfer的用戶,是因第三方廠商而受波及。至於證實受到攻擊事件影響的組織,總共有286個,其中約有四分之一說明了個資受影響的人數。

根據新聞報導、駭客公布的名單、受害組織發出的聲明,以及向美國地方政府或證券交易委員會(SEC)通報的資料,研究機構KonBriefing也公布他們彙整的資料,並設置專屬網頁不斷更新結果。截至7月31日,他們確認有545個組織受害,約有3,270萬至3,760萬人遭受波及,這些組織遍及至少31個國家。

而根據這些組織所屬的國家,大多數(389個)是來自美國,其次是德國、加拿大、英國,分別有35個、25個、24個組織受害。值得留意的是,美國學術機構多達129個,占該國受害組織近三分之一,其次是公家機關,有25個聯邦單位受害。研究人員也提及,在加拿大的受害組織當中,13個是公家機關,也就是該國每2個受害組織就有1個是公部門。

根據研究機構KonBriefing的統計,截至7月31日,共有545個組織證實受到攻擊事件影響,其中有389個位於美國,其次則是德國、加拿大、英國,各有超過20個組織受害。(/KonBriefing)

值得留意的是,資安業者Kroll發現,駭客早在2021年7月就找到CVE-2023-34362,並策畫在完成GoAnywhere攻擊之後,才進行本次的攻擊行動。這意味著該漏洞曝露長達快2年的時間,駭客可能已經過充分的模擬和測試,最後才決定下手。

另一方面,資安業者Censys指出,在5月底Progress發布資安通告及修補程式之前,他們看到約有逾3千臺MOVEit Transfer伺服器曝露於網際網路上。根據這2家資安業者的發現,也代表現在被揭露的受害組織,很可能只是其中的一小部分。

對於實際的受害規模,目前仍難以估計。美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)推估,超過3千個當地組織受害,其他國家可能也有8千個組織遭受攻擊。

不過,這起攻擊行動當中,駭客並未對存放於MOVEit Transfer的檔案進行加密,因此,受害組織會願意向駭客低頭,支付贖金換取資料不被外流嗎?

資安業者Coveware指出,他們認為這起攻擊行動有超過1千個組織會直接受到影響,但僅有非常少數組織願意談判,更別說是支付贖金。

然而,還是有組織選擇向駭客低頭,且付出代價極為高昂,遠超過勒索軟體駭客組織Clop其他攻擊行動的金額(平均約74萬美元)。研究人員估計,駭客總共從這些極為少數的受害組織,收到了7,500萬至1億美元的贖金。

後續頻繁針對新發現的漏洞進行緊急公告

雖然整起事件當中,駭客只有利用CVE-2023-34362,但這次Progress應變處理的可取之處在於,他們在事發之後隨即尋求資安業者協助,檢視MOVEit Transfer的程式碼來改善安全。不過,頻繁發布新漏洞的資安通告,也很可能讓IT人員無所適從,疲於採取緩解措施,或是安裝更新軟體。

6月9日,Progress表示在資安業者Huntress的協助下,找到SQL注入漏洞CVE-2023-35036,CVSS風險評分為9.1,影響所有版本的MOVEit Transfer,該公司提供修補程式,並指出目前該漏洞尚未遭到利用。

事隔不到一週,Progress於15日又再度發布公告,針對新漏洞CVE-2023- 35708 提出緩解措施,呼籲IT人員暫時停用所有HTTP與HTTPS流量,該公司在隔天發布了修補程式。此漏洞也是SQL注入漏洞,CVSS風險評分達到9.8。

值得留意的是,無論是CVE-2023-34362還是CVE-2023- 35708,Progress首度公布漏洞的時候皆未取得CVE編號,也沒有提供CVSS評分,IT人員只能從公告的說明當中,得知該公司認定漏洞極為嚴重,難以判斷要如何安排修補順序。

到了7月初,Progress發布新的資安通告,一口氣揭露3個漏洞CVE-2023-36932、CVE-2023-36933、CVE-2023-36934,這些漏洞主要與SQL注入有關。其中最嚴重的是CVE-2023-36934,CVSS風險評分達到9.1,另外2個漏洞也達到高風險等級。

從事件發生之後,Progress總共修補了6個CVE漏洞,然而根據這些資安通告,不同程度的MOVEit Transfer修補層級,IT人員需要採取的更新步驟也不同,使得修補工作變得更為複雜。

Popular articles
Vietnam’s Controlled Gaming Shift Gains Ground, But Domestic Demand Still Lags
Southeast Asia
GAT CDMX 2025 Institutional Academy: Leaders and Experts Analyze the Present and Future of the Gaming Industry in Mexico and Lat
Sports Game
Zenith partners with HUIDU for 2026 World Cup Carnival Official Tour
Online Game
Online gambling, crypto pose ongoing money laundering risks in Philippines, analyst says
Southeast Asia
PropellerAds Shared a New iGaming Case Study: 97,674 Installs and 12,701 Deposits in 3 Months
Marketing
SBC Summit Canada to Make Player Safety a Key Pillar of 2026 Agenda
Marketing
DB Gaming Is One of Asia’s Top-Tier Game Solution Providers, Recognized as a Pioneer in the Asian Gaming Industry.
Marketing
Are you ready to maximize your earnings? Try ProPush.me Constructor!
Marketing
JILI Partners with Cricket Legend AB de Villiers (ABD) to Launch Exclusive Branded Game Series 100% 11
Sports Game
1spin4win releases unique slot Don Catleone Hold and Win featuring gangster cats
Online Game
Brazil Proposes Raising Gambling Tax Rate to 24%, With Revenue Allocated to Social Security and Healthcare
Regulation
Global Game Connect (GGC) 2027 Officially Opens Sponsorship & Exhibition Opportunities in Sri Lanka!
HUIDU Focus
GAT Expo CDMX 2026 Kicks Off Today in Mexico with a Sold-Out Opening Reception at Big Bola Casino Santa Fe
Marketing
Super PAC Raises $48 Million: Sports Betting Forces Ramp Up Political Push
Regulation
PropellerAds Positions Itself as a Go-To Traffic Source for iGaming Advertisers Ahead of a High-Demand Season
Marketing
Home
Game
Cooperation
Find
My