La compañía de inteligencia de amenazas Greynoise advirtió sobre «sobretensiones notables» de actividades de escaneo dirigidas a sistemas móviles progresivos desde el 27 de mayo de 2025. El atacante puede estar preparando otra campaña de explotación masiva o investigando un sistema de cuentas por cobrar.
Moveit Transfer es una solución de transferencia de archivos administrada popular utilizada por las empresas y las agencias gubernamentales para compartir de forma segura los datos confidenciales. A menudo se convirtieron en el objetivo de los atacantes porque procesaban información de alto valor.
«Anteriormente antes de esta fecha, los escaneos eran mínimos. Por lo general, menos de 10 IP por día», dijo la compañía. «Sin embargo, el 27 de mayo, ese número aumentó a más de 100 IPs únicos, seguido de 319 IPS el 28 de mayo».
Desde entonces, el volumen IP del escáner diario se ha mantenido intermitentemente aumentando entre 200 y 300 IP por día, y Greynoise ha dicho que lo marca como una «desviación significativa» de la operación normal.
Se han marcado hasta 682 IP únicos en relación con la actividad en los últimos 90 días, con 449 direcciones IP observadas en las últimas 24 horas solas. De los 449 IPS, 344 se clasificaron como sospechosos y 77 eran maliciosos.
La mayoría de los IP son mediciones globales en los Estados Unidos, seguidas por Alemania, Japón, Singapur, Brasil, Países Bajos, Corea, Hong Kong e Indonesia.
Greynoise también declaró que el 12 de junio de 2025, detectó intentos de explotar la baja capacidad para armarse dos defectos de transferencia de movimiento conocidos (CVE-2023-34362 y CVE-2023-36934). 2,770 organizaciones.
Los picos de actividad de escaneo indican que la instancia de reenvío de MoveIT está nuevamente bajo el escáner del actor de amenaza, por lo que los usuarios bloquean la dirección IP problemática, asegúrese de que el software esté actualizado y no esté disponible públicamente en Internet.
Source link
