Clop勒索组织利用 CVE-2023-0669 漏洞卷土重来

据外媒报道，Clop 勒索软件组织近期正利用 GoAnywhere MFT 安全文件传输工具的零日漏洞攻击并窃取企业数据。

该勒索组织透露称，其利用该漏洞成功从全球一百多家企业服务器中窃取了数据，但拒绝透露攻击时间和赎金额度。

目前，GoAnywhere MFT 的开发商 Fortra 未就此事做出任何评价，也无法证实 Clop 勒索组织提供的资料是否属实。

国内安全厂商资料显示，GoAnywhere MFT  远程代码注入漏洞为中危级别，该安全漏洞被追踪为CVE-2023-0669。

2023年02月06日，该漏洞的 PoC 代码被公开，所属厂商 Fortra 分别于2023年02月07日和02月08日发布紧急更新。

2023年02月10日，美国网络安全和基础设施安全局正式将漏洞添加到其已知被利用漏洞目录，该漏洞为更多人关注

据悉，攻击者可利用该漏洞在未及时修补的 GoAnywhere MFT 实例上执行远程执行代码，从而控制实例和窃取数据。

按照该勒索组织以往的攻击案例，一旦实例被其实施远程控制则会部署勒索软件和进行横向攻击从而控制更多资源。

但 Clop 此次却“大发慈悲”，只在攻击系统服务器十天后，窃取存储于受感染的 GoAnywhere MFT 服务器上的数据。

通过 Shodan 检索可以发现，目前全球有超过 1000 个 GoAnywhere 实例被暴露在网络中，所幸易受攻击的仅百余。

因此安全厂商建议这些使用 8000 和 8001 端口的易受攻击的厂商尽快安装Fortra发布的安全更新，防止被黑客入侵。

资料显示，Clop 勒索软件团伙自2019年02月以来一直活跃，实施双重勒索模型窃取数据，受害者包括组织和大学。

2021年，在攻击在国际刑警组织领导的名为 Operation Cyclone 的国际联合执法行动中，其六名成员在乌克兰被捕。

当时的旋风行动执法活动获得了 CDI、Kaspersky、Fortinet 和 Group-IB 等公司的帮助，没收违法资金185000美元。

尽管当时的联合执法行动使得 Clop 的部分基础设施被封、成员被逮捕，却没有损伤其根基而使之至今仍然逍遥法外。