proc-cl0p-moveit-mass-exploitation

# PROC - Cl0p: Exploração em Massa do MOVEit Transfer ## Visão Geral A campanha MOVEit do grupo [[cl0p|Cl0p]] em junho de 2023 representa um dos maiores ataques de supply chain digital da historia: em menos de duas semanas, o grupo explorou a vulnerabilidade zero-day CVE-2023-34362 no software de transferencia de arquivos MOVEit Transfer, comprometendo mais de 2.500 organizacoes em 89 paises e afetando dados de mais de 62 milhões de pessoas. Entre as vitimas: o Departamento de Energia dos EUA, Shell, British Airways, BBC, Siemens Energy, e dezenas de universidades. O Cl0p e um grupo de ransomware russo-falante operando desde 2019, mas a campanha MOVEit revelou uma evolução significativa em sua métodologia: em vez do modelo clássico de ransomware (criptografar + pedir resgate), o grupo adotou extorsao pura via exfiltração de dados - sem criptografar os sistemas das vitimas. Essa abordagem e mais eficiente em escala massiva (não e necessário gerenciar o processo de criptografia em milhares de ambientes distintos) e mais dificil de detectar (sistemas continuam funcionando normalmente). O grupo preparou a exploração da CVE-2023-34362 por meses antes do disparo coordenado - evidênciado por actividade de reconhecimento detectada em janeiro/2023, cinco meses antes da exploração pública. Esse pre-posicionamento silencioso seguido de disparo em larga escala e a assinatura operacional do Cl0p. ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento Antecipado Meses antes do zero-day publico"] --> B["💥 Zero-Day CVE-2023-34362 SQL Injection no MOVEit Transfer"] B --> C["🐚 Web Shell LEMURLOOT Implantado em /moveitisapi/"] C --> D["📂 Exfiltração de Dados Todos os arquivos transferidos"] D --> E["🏃 Saida Limpa Delecao do web shell"] E --> F["⏰ Disparo em Massa Centenas de vitimas simultaneas"] F --> G["📋 Site de Extorsao Prazo de pagamento 7 dias"] G --> H["🌐 Vazamento Publico Dados no site Cl0p Leaks"] ``` ## Passo a Passo ### Fase 1 - Reconhecimento Pre-Zero-Day O Cl0p identificou e estudou a vulnerabilidade no MOVEit Transfer meses antes de divulga-la. A técnica de "acumular" exploração zero-day para disparo coordenado e caracteristica do grupo e distingue o Cl0p de grupos oportunistas. Durante o período de reconhecimento silencioso (jániro-maio 2023), o grupo: - Mapeou instalacoes públicas do MOVEit Transfer via Shodan e FOFA - Desenvolveu e testou o exploit SQL injection em ambiente controlado - Preparou o web shell LEMURLOOT adaptado para o ambiente MOVEit - Desenvolveu scripts de automacao para exfiltração rapida de múltiplos alvos simultaneamente O grupo escolheu o Memorial Day weekend nos EUA (27-29 maio 2023) como jánela de disparo - período de menor vigilancia de equipes de segurança. ### Fase 2 - Exploração SQL Injection (CVE-2023-34362) A vulnerabilidade e uma SQL injection pre-autenticada na interface web do MOVEit Transfer ([[t1190-exploit-public-facing-application|T1190]]). O endpoint vulnerável e `/moveitisapi/moveitisapi.dll`: ```http POST /moveitisapi/moveitisapi.dll HTTP/1.1 Host: moveit.empresa.com Content-Type: application/x-www-form-urlencoded [payload SQL injection no campo de autenticação] → Bypass de autenticação + execução de SQL arbitraria no banco MOVEit → Criação de usuario administrativo controlado pelo atacante → Upload do web shell LEMURLOOT ``` A SQL injection permite que o atacante crie uma sessao administrativa válida sem conhecer qualquer credencial existente. A vulnerabilidade afeta todas as versoes do MOVEit Transfer até 2023-05-31. ### Fase 3 - Implantação do Web Shell LEMURLOOT Após obter sessao administrativa, o Cl0p implanta o web shell proprietario denominado **LEMURLOOT** (nomenclatura Mandiant) em um caminho previsivel ([[t1505-003-web-shell|T1505.003]]): ``` /moveitisapi/moveitisapi.dll ← arquivo legitimo /moveitisapi/human2.aspx ← LEMURLOOT (web shell) ``` O LEMURLOOT e desenvolvido em ASP.NET e implementa as seguintes funcionalidades: - Autenticação via header HTTP customizado (`X-siLock-Comment`) - Download de qualquer arquivo do servidor MOVEit - Listagem de arquivos e metadados - Execução de comandos arbitrarios no servidor - Auto-delecao após exfiltração completa ```bash # Verificação de presenca do web shell curl -s -H "X-siLock-Comment: [senha_hardcoded]" \ https://moveit.empresa.com/moveitisapi/human2.aspx?action=list ``` ### Fase 4 - Exfiltração Massiva de Dados Com o web shell operacional, a exfiltração e executada de forma automatizada ([[t1048-exfiltration-over-alternative-protocol|T1048]]). O MOVEit Transfer e usado por organizacoes para transferir arquivos sensiveis: contratos, dados de funcionarios, informações financeiras, dados de saúde, relatorios regulatorios. ``` # Script de exfiltração via LEMURLOOT GET /moveitisapi/human2.aspx?action=download&path=/MOVEitShare/ → Download recursivo de todos os arquivos disponíveis → Upload para servidores de staging do Cl0p via HTTPS → Compressão e chunking para otimizar transferência ``` O processo e altamente automatizado e pode completar a exfiltração de um servidor em 30-60 minutos, bem dentro da jánela antes de qualquer detecção humana. ### Fase 5 - Saida Limpa e Cobertura de Rastros Após a exfiltração, o grupo deleta o web shell e todas as evidências de presenca: ``` # Delecao do web shell via endpoint de auto-delecao GET /moveitisapi/human2.aspx?action=delete&self=true # Limpeza de logs do servidor MOVEit via SQL [SQL payload para limpar tabelas de auditoria do MOVEit] ``` Essa limpeza sistematica dificulta a resposta a incidentes e a determinacao do escopo exato da exfiltração. ### Fase 6 - Extorsao em Escala O Cl0p públicou um aviso coletivo em seu site de leak dando as vitimas um prazo de 7 dias para negociar. Para cada vitima que não pagasse, os dados seriam públicados progressivamente. A estratégia de extorsao em massa e financeiramente eficiente: mesmo com taxa de pagamento de 1-5% das vitimas, o volume total e lucrativo. ## TTPs Mapeados | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-34362 SQL injection pre-auth | | Persistência | [[t1505-003-web-shell\|T1505.003]] | Web shell LEMURLOOT em ASP.NET | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Execução de comandos via web shell | | Coleta | [[t1213-data-from-information-repositories\|T1213]] | Dump de todos os arquivos do MOVEit | | Exfiltração | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | HTTPS para servidores de staging | | Evasão | [[t1070-indicator-removal\|T1070]] | Delecao do web shell e logs | | Impacto | [[t1657-financial-theft\|T1657]] | Extorsao via ameaça de públicacao | ## Detecção **Detecção pos-fato (forense):** | Indicador | Severidade | Método | |-----------|-----------|--------| | Arquivo `human2.aspx` em `/moveitisapi/` | Critica | File integrity monitoring | | SQL queries atipicas no banco MOVEit (criação de usuarios) | Critica | DB audit log / WAF | | Acessos HTTP ao endpoint `moveitisapi.dll` sem autenticação | Alta | Web server access log | | Upload de volume anormal de dados saindo do servidor MOVEit | Critica | NDR / DLP | | Header HTTP `X-siLock-Comment` em requests | Critica | WAF custom rule | | Arquivos de log do MOVEit truncados ou deletados | Critica | Log integrity monitoring | **Controle preventivo:** Aplicar patches MOVEit imediatamente quando disponiveis. Implementar WAF com regras específicas para SQL injection em endpoints de file transfer. Monitorar integridade de arquivos nos diretorios web do MOVEit. ## Contexto Brasil/LATAM O Brasil foi afetado pela campanha MOVEit de forma direta: subsidiarias de multinacionais com presenca brasileira (Shell, Siemens, empresas de auditoria como PwC e Ernst&Young) foram comprometidas, potencialmente expondo dados de funcionarios e contratos brasileiros. O impacto mais significativo foi indireto: provedores de beneficios e folha de pagamento (HR service providers) que processam dados de milhões de funcionarios brasileiros de grandes corporacoes. A Mercer, processadora de beneficios, foi comprometida via MOVEit e potencialmente afetou dados de funcionarios de dezenas de empresas brasileiras clientes. No contexto regulatorio LGPD, qualquer organização brasileira com instancias do MOVEit Transfer comprometidas em 2023 tinha obrigação de notificação a ANPD - obrigação que diversas organizacoes podem não ter cumprido se não detectaram o comprometimento (o Cl0p não criptografava os sistemas, tornando a detecção mais dificil). O caso MOVEit reforca a necessidade de monitoramento de integridade em sistemas de transferencia de arquivos criticos. ## Referências - [CISA Advisory AA23-158A — CL0P Ransomware MOVEit](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) - [Mandiant — MOVEit Transfer Zero-Day Exploitation](https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft) - [Progress Software — Security Advisory CVE-2023-34362](https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability) - [Huntress — Technical Analysis of LEMURLOOT Web Shell](https://www.huntress.com/blog/moveit-transfer-critical-vulnerability-rapid-response) - [KrebsonSecurity — Timeline da campanha Cl0p MOVEit](https://krebsonsecurity.com/2023/06/cl0p-gang-demands-ransom-from-dozens-of-companies/)