Termite: Оценка угрозы и уязвимости CVE-2024-50623 в Cleo
Недавние кибератаки группы программ-вымогателей Termite вновь привлекли внимание специалистов по кибербезопасности. В числе пострадавших оказалась компания Blue Yonder — известный поставщик цепочки поставок. Атаки сопровождались массовым использованием недавно исправленной уязвимости CVE-2024-50623 в программных продуктах Cleo, предназначенных для передачи файлов.
Рост эксплуатаций уязвимости CVE-2024-50623
Исследователи безопасности зафиксировали значительный рост числа случаев атаки с использованием уязвимости в таких приложениях, как LexiCom, VLTransfer и Harmony от компании Cleo. Уязвимость позволяет злоумышленникам выполнять удалённый код без проверки подлинности, что создаёт серьезные риски для организаций.
- Первые атаки начались 3 декабря 2024 года.
- Минимум десять подтверждённых жертв в различных отраслях.
- Патч для устранения уязвимости выпущен в октябре 2024 года.
- Даже версии программного обеспечения Cleo 5.8.0.21 остаются уязвимыми.
- Более 4200 предприятий подвергаются риску, включая New Balance и Barilla America.
Методы и тактики программы-вымогателя Termite
Termite демонстрирует комплексный и агрессивный подход, направленный на максимизацию ущерба и минимизацию шансов восстановить данные. Ключевые тактики включают:
- Удаление теневых копий с помощью команды
vssadmin.exe удалить тени, блокирующее восстановление через службу теневого копирования томов Windows. - Отключение служб Windows, связанных с безопасностью и резервным копированием, посредством использования API
ControlService(). Это препятствует работе защитных механизмов и повышает вероятность успешного шифрования. - Нацеливание на процессы виртуальных дисков, баз данных и редакторов документов для обеспечения беспрепятственного шифрования критически важных данных.
- Сканирование различных каталогов и хранилищ, включая удалённые диски, с использованием точек подключения томов для обхода ограничений доступа.
Такой систематический подход позволяет Termite гарантировать максимальный операционный, финансовый и репутационный ущерб для жертв.
Уведомления жертвам и аналитика безопасности
После успешного шифрования данных программа-вымогатель распространяет уведомления о выкупе в различных форматах (.txt, .html, .hta) по всей системе зараженного компьютера. Это информирует пользователей о текущем статусе атаки и требовании выкупа.
Кроме того, эксперты разработали специальные системы аналитики, отслеживающие создание этих уведомлений и обнаруживающие попытки удаления теневых копий — ключевые индикаторы активности Termite. Это позволяет оперативно реагировать на атаки и минимизировать последствия.
Выводы
Действия группы Termite демонстрируют высокую степень координации и технической продвинутости. Использование удаленного выполнения кода, блокировка защитных механизмов и агрессивное шифрование критически важных данных свидетельствуют о развитии тактик, направленных на серьёзное дестабилизирующее воздействие на корпоративные системы. Несмотря на наличие патчей, масштаб уязвимости и инструментарий группы создают серьёзную угрозу для тысяч компаний по всему миру.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
