Шифровальщик Clop эксплуатирует уязвимость в SolarWinds Serv-U

Компания NCC Group предупреждает о всплеске атак шифровальщика Clop (хак-группа также известна как TA505 и FIN11), причем большинство из них начинается с эксплуатации бага CVE-2021-35211 в Serv-U Managed File Transfer и Serv-U Secure FTP. Эта проблема позволяет удаленному злоумышленнику выполнять команды с повышенными привилегиями на уязвимом сервере.

Компания SolarWinds исправила этот баг еще в июле 2021 года, после обнаружения «единственного злоумышленника», который использовал эту уязвимость в атаках. Тогда компания предупредила, что уязвимость затрагивает только клиентов, включивших функцию SSH, а отключение SSH препятствует эксплуатации бага.

Как теперь сообщает NCC Group, операторы Clop тоже стали использовать эту уязвимость в своих атаках, хотя обычно они полагались на эксплантацию 0-day проблем в Accellion и фишинговые электронные письма с вредоносными вложениями. Теперь же злоумышленники используют Serv-U для запуска подконтрольного им подпроцесса, что позволяет запускать команды в целевой системе. Это открывает путь для развертывания малвари, сетевой разведки и бокового перемещения, создавая надежную платформу для вымогательской атаки.

Характерным признаком использования этой уязвимости являются определенные ошибки в логах Serv-U. Так, ошибка должны быть похожа на следующую строку:

‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’

Еще одним признаком эксплуатации бага являются следы выполнения команды PowerShell, которая используется для развертывания маяков Cobalt Strike в уязвимой системе.

NCC Group опубликовала контрольный список для системных администраторов, по которому можно проверить системы на признаки компрометации:

  • проверьте, уязвима ли ваша версия Serv-U;
  • найдите файл DebugSocketlog.txt для Serv-U;
  • найдите в нем такие записи, как ‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’;
  • проверьте событие с кодом 4104 в журналах событий Windows, указав дату и время ошибки исключения, и поищите подозрительные команды PowerShell;
  • проверьте наличие захваченной запланированной задачи RegIdleBackup;
  • CLSID в COM не должен быть установлен на {CA767AA8-9157-4604-B64B-40747123D5F2};
  • если задача содержит другой CLSID: проверьте содержимое объектов CLSID в реестре, возвращенные строки в кодировке Base64 могут быть индикатором компрометации.

Исследователи отмечают, что больше всего уязвимых экземпляров Serv-U FTP находятся в Китае и США.

Источник 📢