O Grupo NCC avisa de um pico de ataques de ransomware Clop (grupo de hackers também conhecido como TA505 e FIN11), que explora uma vulnerabilidade no SolarWinds Serv-U.
A maioria deles começa explorando o bug CVE-2021-35211 no Serv-U Managed File Transfer e Serv-U Secure FTP. Este problema permite que um invasor remoto execute comandos com privilégios elevados no servidor afetado.
SolarWinds fixo esse bug em julho 2021, depois de descobrir o “único atacante” que usou esta vulnerabilidade em ataques. Em seguida, a empresa alertou que a vulnerabilidade afeta apenas clientes que habilitaram a função SSH, e desabilitar o SSH evita a exploração do bug.
Como o Grupo NCC agora relata, Os operadores Clop também começaram a explorar a vulnerabilidade em seus ataques, embora eles normalmente confiava sobre como resolver problemas de dia 0 no Accellion e e-mails de phishing com anexos maliciosos. Agora os invasores usam o Serv-U para lançar um subprocesso sob seu controle, o que lhes permite executar comandos no sistema de destino. Isso abre caminho para a implantação de malware, reconhecimento de rede, e movimento lateral, criando uma plataforma sólida para ataques de ransomware.
Certos erros nos logs do Serv-U são um sinal característico de exploração desta vulnerabilidade. Então, o erro deve ser parecido com a seguinte linha:
'EXCEÇÃO: C0000005; Soquete CSUSSH::ProcessReceber();’
Outro sinal de exploração do bug são os vestígios do comando PowerShell usado para implantar beacons Cobalt Strike no sistema afetado.
O Grupo NCC publicou uma lista de verificação do administrador do sistema que pode verificar os sistemas em busca de sinais de comprometimento:
- verifique se sua versão do Serv-U é vulnerável;
- encontre o arquivo DebugSocketlog.txt para Serv-U;
- Procure entradas como 'EXCEÇÃO: C0000005; Soquete CSUSSH::ProcessReceber();’;
- verifique o ID do evento 4104 nos logs de eventos do Windows para a data e hora do erro de exceção, e procure comandos suspeitos do PowerShell.
- verifique a tarefa RegIdleBackup agendada capturada;
- CLSID em COM não deve ser definido como {CA767AA8-9157-4604-B64B-40747123D5F2};
- Se a tarefa contiver um CLSID diferente: verifique o conteúdo dos objetos CLSID no registro, as strings Base64 retornadas podem ser um indicador de comprometimento.
Os pesquisadores observam que a maioria dos sistemas FTP vulneráveis do Serv-U estão na China e nos Estados Unidos.
Deixe-me lembrá-lo que escrevi que o A polícia cibernética da Ucrânia prendeu pessoas ligadas ao ransomware Clop, mas também isso Clop ransomware continua funcionando mesmo após uma série de prisões.
