Финансово мотивированный хакер ранее был связан с массовой эксплуатацией критических уязвимостей в программном обеспечении для передачи файлов MOVEit.

Blue Yonder расследует угрозу вируса-вымогателя Clop, связанную с эксплуатируемыми уязвимостями Cleo CVE

Ранее Starbucks столкнулась с нарушением работы своей платформы планирования сотрудников из-за атаки вируса-вымогателя на Blue Yonder. Технологическая фирма работала со Starbucks, чтобы восстановить работу платформы. Предоставлено Starbucks

Blue Yonder заявила, что расследует угрозу после того, как Clop включил компанию по управлению цепочками поставок в список почти 60 компаний, которые, по утверждениям группы вирусов-вымогателей, она взломала. По словам исследователей из Zscaler и Huntress, атаки были связаны с эксплуатируемыми уязвимостями в программном обеспечении для передачи файлов Cleo.

Представитель Blue Yonder в пятницу подтвердил, что компания использует Cleo для управления определенными передачами файлов. После подтверждения уязвимости нулевого дня Blue Yonder заявила, что немедленно предприняла шаги по снижению угрозы.

«Как и многие клиенты Cleo Harmony по всему миру, мы в настоящее время изучаем любое потенциальное влияние этой проблемы на наш бизнес и продолжаем информировать наших клиентов по мере поступления дополнительной информации», — сообщил представитель Cybersecurity Dive по электронной почте.

Blue Yonder, крупный поставщик технологий для цепочек поставок, в ноябре раскрыл атаку с использованием вирусов-вымогателей, которая затронула множество клиентов по всему миру.

Атака затронула такие компании, как Starbucks и британская сеть супермаркетов Morrisons, и нарушила ряд логистических операций у этих клиентов.

Clop, финансово мотивированная группа угроз, связанная с массовой эксплуатацией программного обеспечения для передачи файлов MOVEit, ранее в декабрьском сообщении взяла на себя ответственность за эксплуатацию уязвимостей Cleo.

Угроза связана с уязвимостями в Cleo Harmony, VLTrader и Lexicom. В октябре Cleo предупреждала об уязвимости неограниченной загрузки и скачивания файлов, обозначенной как CVE-2024-50623, но исследователи Huntress обнаружили, что исправление для этой уязвимости не обеспечивает адекватной защиты.

Вторая уязвимость, обозначенная как CVE-2024-55956, может позволить неаутентифицированному злоумышленнику импортировать и выполнять произвольные команды bash или Powershell на хост-системе. Этой уязвимости был присвоен CVE в декабре, всего через несколько дней после выпуска исправления.

Исследователи безопасности раскритиковали компанию в декабре за задержки с выпуском исправления.

Clop пригрозила утечкой данных из этих компаний, начиная с этих выходных, если они не свяжутся с компанией.

Исследователи из Zscaler заявили, что эксплуатация служб передачи файлов — очень знакомая территория для Clop.

«Известно, что банда вымогателей Clop использует этот вектор эксплуатации уязвимостей нулевого дня в приложениях для передачи файлов, что приводит к удаленному выполнению кода, несанкционированному доступу, ведущему к массовой утечке данных», — сообщил по электронной почте Дипен Десаи, CSO в Zscaler.

Исследователи Huntress в декабре заявили, что им известно о компаниях в сфере потребительских товаров, грузоперевозок, продуктов питания и судоходства, которые стали объектами атак.

Исследователи Mandiant идентифицировали субъекта угрозы, эксплуатирующего CVE Cleo, как UNC5936. Исследователи заявили, что кластер пересекается с FIN11, который также известен как Clop. Вредоносные бэкдоры, включая Beacon и Goldtomb, были развернуты на эксплуатируемых системах.