Группировка TA505 в ходе атак использует уязвимость в SolarWinds Serv-U

Киберпреступная группировка TA505 эксплуатирует уязвимость в SolarWinds Serv-U для взлома корпоративных сетей и шифрования компьютерных систем с помощью вымогательского ПО Clop.

Уязвимость удаленного выполнения кода ( CVE-2021-35211 ) в платформах Serv-U Managed File Transfer и Serv-U Secure FTP позволяет удаленному злоумышленнику выполнять команды на уязвимом сервере с повышенными привилегиями. Уязвимость затрагивает только клиентов, включивших функцию SSH, которая обычно используется для дополнительной защиты подключений к FTP-серверу.

По словам специалистов из компании NCC Group, в последние пару недель наблюдался всплеск кибератак с использованием вымогательского ПО Clop, большинство из которых начинались с эксплуатации уязвимости CVE-2021-35211. Злоумышленники используют Serv-U для запуска подконтрольного подпроцесса, что позволяет им запускать команды на целевой системе, устанавливать вредоносные программы, осуществлять кибершпионаж и перемещаться по сети жертвы.

Характерным признаком использования данной уязвимости являются ошибки исключения в журналах Serv-U, возникающие при ее эксплуатации. Еще одним признаком эксплуатации являются следы выполнения PowerShell-команды, которая используется для установки маячков Cobalt Strike на уязвимой системе.

Для обеспечения персистентности преступники перехватывает контроль над легитимной задачей, используемой для регулярного резервного копирования кустов реестра, и злоупотребляют соответствующим обработчиком COM для загрузки FlawedGrace RAT.

Наибольшая часть уязвимых установок Serv-U FTP находится в Китае (1141), на втором месте — США (549). За ними следуют Канада (99), Россия (92) и Гонконг (88). Прошло почти четыре месяца с тех пор, как SolarWinds выпустила обновление безопасности для этой уязвимости, но процент потенциально уязвимых серверов Serv-U остается выше 60%.

«В июле 5945 (примерно 94%) из всех FTP-сервисов Serv-U (S), идентифицированных на порту 22, были потенциально уязвимыми. В октябре, через три месяца после выпуска патча от SolarWinds, количество потенциально уязвимых серверов по-прежнему остается значительным и составляет 2784 (66,5%)», — отметили эксперты.