Группировка TA505 в ходе атак использует уязвимость в SolarWinds Serv-U

Группировка TA505 в ходе атак использует уязвимость в SolarWinds Serv-U

RCE-уязвимость позволяет удаленному злоумышленнику выполнять команды на уязвимом сервере с повышенными привилегиями.

image

Киберпреступная группировка TA505 эксплуатирует уязвимость в SolarWinds Serv-U для взлома корпоративных сетей и шифрования компьютерных систем с помощью вымогательского ПО Clop.

Уязвимость удаленного выполнения кода ( CVE-2021-35211 ) в платформах Serv-U Managed File Transfer и Serv-U Secure FTP позволяет удаленному злоумышленнику выполнять команды на уязвимом сервере с повышенными привилегиями. Уязвимость затрагивает только клиентов, включивших функцию SSH, которая обычно используется для дополнительной защиты подключений к FTP-серверу.

По словам специалистов из компании NCC Group, в последние пару недель наблюдался всплеск кибератак с использованием вымогательского ПО Clop, большинство из которых начинались с эксплуатации уязвимости CVE-2021-35211. Злоумышленники используют Serv-U для запуска подконтрольного подпроцесса, что позволяет им запускать команды на целевой системе, устанавливать вредоносные программы, осуществлять кибершпионаж и перемещаться по сети жертвы.

Характерным признаком использования данной уязвимости являются ошибки исключения в журналах Serv-U, возникающие при ее эксплуатации. Еще одним признаком эксплуатации являются следы выполнения PowerShell-команды, которая используется для установки маячков Cobalt Strike на уязвимой системе.

Для обеспечения персистентности преступники перехватывает контроль над легитимной задачей, используемой для регулярного резервного копирования кустов реестра, и злоупотребляют соответствующим обработчиком COM для загрузки FlawedGrace RAT.

Наибольшая часть уязвимых установок Serv-U FTP находится в Китае (1141), на втором месте — США (549). За ними следуют Канада (99), Россия (92) и Гонконг (88). Прошло почти четыре месяца с тех пор, как SolarWinds выпустила обновление безопасности для этой уязвимости, но процент потенциально уязвимых серверов Serv-U остается выше 60%.

«В июле 5945 (примерно 94%) из всех FTP-сервисов Serv-U (S), идентифицированных на порту 22, были потенциально уязвимыми. В октябре, через три месяца после выпуска патча от SolarWinds, количество потенциально уязвимых серверов по-прежнему остается значительным и составляет 2784 (66,5%)», — отметили эксперты.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!