據(jù)BleepingComputer 2月10日消息，Clop 勒索軟件組織最近利用 GoAnywhere MFT 安全文件傳輸工具中的零日漏洞，從 130 多個(gè)企業(yè)組織中竊取了數(shù)據(jù)。

該安全漏洞被追蹤為 CVE-2023-0669，攻擊者能夠在未修補(bǔ)的 GoAnywhere MFT 實(shí)例上遠(yuǎn)程執(zhí)行代碼，并將其管理控制臺(tái)暴露在互聯(lián)網(wǎng)中。

Clop向BleepingComputer透露，他們?cè)诠粝到y(tǒng)服務(wù)器10天后竊取了相應(yīng)數(shù)據(jù)，并稱還可以通過受害者網(wǎng)絡(luò)橫向移動(dòng)，從而部署勒索軟件有效負(fù)載來加密系統(tǒng)。但他們并沒有這么做，只竊取了存儲(chǔ)在受感染的 GoAnywhere MFT 服務(wù)器上的數(shù)據(jù)。當(dāng)BleepingComputer向他們?cè)儐柡螘r(shí)開始攻擊、索要多少贖金時(shí)，該組織拒絕透露這些信息。

BleepingComputer 無法獨(dú)立證實(shí) Clop 的說法，GoAnywhere MFT的開發(fā)商 Fortra（以前稱為 HelpSystems）也未提供有關(guān)漏洞利用和勒索軟件組織的更多信息。

2月6日， CVE-2023-0669漏洞的PoC代碼被公開，F(xiàn)ortra在2月7日和2月8日分別發(fā)布了緊急更新，稱其部分 MFTaaS 實(shí)例也在攻擊中遭到破壞。CISA 已在2月10日正式將漏洞?添加到其已知被利用漏洞目錄中。

雖然 Shodan 顯示有超過 1000 個(gè) GoAnywhere 實(shí)例被暴露，但只有 135 個(gè)在易受攻擊的 8000 和 8001端口上。

暴露于互聯(lián)網(wǎng)的 GoAnywhere MFT 設(shè)備 (Shodan)

此次Clop 勒索軟件攻擊被指與他們?cè)?2020 年 12 月使用的策略非常相似，當(dāng)時(shí)他們發(fā)現(xiàn)并利用Accellion FTA 零日漏洞竊取了大約 100 家公司的數(shù)據(jù)，包括能源巨頭殼牌公司（Shell）、零售巨頭克羅格（Kroger）、網(wǎng)絡(luò)安全公司 Qualys以及全球多所高校。

2021 年 6 月，在代號(hào)為“旋風(fēng)行動(dòng)”的國(guó)際執(zhí)法行動(dòng)之后，Clop 的部分基礎(chǔ)設(shè)施被封，當(dāng)時(shí) 6 名為 Clop 勒索軟件團(tuán)伙提供服務(wù)的人員在烏克蘭被捕。