Lace Tempest 利用 MOVEit Transfer 漏洞展开攻击

关键要点

Lace Tempest 黑客组织利用 Progress Software 的 MOVEit Transfer 应用中的关键零日漏洞展开了一系列攻击。微软确认 Clop 勒索软件变种与此次 MOVEit 漏洞的利用有关，相关实体已使用类似漏洞进行数据盗窃和敲诈。该漏洞影响了多个机构，包括加拿大新斯科舍省政府和英航员工。行业专家提醒安全团队注意可能的敲诈邮件，并提到许多受影响组织可能会感到困惑。

微软威胁情报团队将利用 Progress Software 的 MOVEit Transfer 文件传输应用中的关键零日漏洞的攻击归因于 Lace Tempest，这是一个以勒索软件行动而闻名的高级持续威胁组织，且与 Clop 敲诈网站相关联。

旋风加速免费安装官网

在一条推文中，微软指出，Clop 勒索软件变种确实与 MOVEit 零日漏洞的利用有关，且该威胁行为者过去也曾利用类似漏洞进行数据盗窃和敲诈。

Progress Software于5月31日披露了此 SQL 注入漏洞。自那时起，来自Huntress、Mandiant以及安全研究员Kevin Beaumont等研究者都对此漏洞进行评论，呼吁安全团队及时修补该漏洞CVE202334362。

研究人员表示，该漏洞可能导致权限提升和对数百万个 IT 环境的潜在未授权访问。此零日漏洞已经对新斯科舍省政府和英航员工等多个组织造成了影响。

Mandiant Consulting 的首席技术官 Charles Carmakal 强调，受害组织需为潜在的敲诈、盗窃数据的公开以及受害者羞辱做好准备。

Carmakal 表示：“我们预计该威胁行为者很快就会向受害者提出敲诈要求。”他提到，过去的威胁活动中，FIN11Mandiant 对 Lace Tempest 的称谓通常需要几周时间才能找到其受害者。

与此同时，Carmakal 建议安全团队警惕诈骗者。他提到，部分受到 MOVEit 利用影响的 Mandiant 客户在周末收到了敲诈邮件。

他解释道：“这些敲诈邮件与 MOVEit 的利用无关，只是欺诈邮件，但是组织可能会误认为其为真实邮件。”

Huntress 的高级安全研究员 John Hammond 补充道，行业内大多数威胁情报分析师也得出结论，Clop 确实与此次 MOVEit 利用事件有关，因为文件传输应用的目标与 Clop 最近的 GoAnywhere MFT 攻击相似。

Hammond 透露，Huntress 已重现了此攻击链关于 CVE202334362 的 MOVEit 利用，截至目前尚未观察到任何新的未公开的妥协迹象或异常活动。

“Progress 已就他们的响应措施提供了一些更新，但尚未提供进一步的技术细节，比如已知的数据窃取 IP 地址或恶意域名，” Hammond 说。他补充说：“不幸的是，越来越多的组织似乎正在渐渐浮出水面，表达他们已因这一威胁而受到影响。”

Netenrich 的首席威胁猎手 John Bambenek 指出，数据窃取已成为现代勒索软件在对组织进行人质威胁前的最后一步。他表示，此次的零日漏洞让攻击者能够针对多种目标迅速窃取数据，这大大缩短了响应时间。

“这个组织显然在考虑我们作为防御方的响应，以便在