Hackeri využívajú Accellion Zero-Days pri nedávnych útokoch na krádeže dát a vydieranie

Výskumníci v oblasti kybernetickej bezpečnosti v pondelok spojili sériu útokov zameraných na servery Accellion File Transfer Appliance (FTA) za posledné dva mesiace s kampaňou proti krádeži údajov a vydieraním organizovanej skupinou pre počítačovú kriminalitu s názvom UNC2546.

Útoky, ktoré sa začali v polovici decembra 2020, zahŕňali využitie viacerých zero-day zraniteľností v starom FTA softvéri na inštaláciu nového webového shellu s názvom DEWMODE do sietí obetí a exfiltráciu citlivých údajov, ktoré boli následne zverejnené na webovej stránke pre únik údajov prevádzkovanej spoločnosťou ransomvérový gang CLOP.

Ale obratom, v žiadnom z nedávnych incidentov, ktoré zasiahli organizácie v USA, Singapure, Kanade a Holandsku, v skutočnosti nebol nasadený žiadny ransomvér, pričom sa aktéri namiesto toho uchýlili k vydieračským e-mailom, aby sa obetiam vyhrážali, že zaplatia bitcoinové výkupné.

Podľa Risky Business medzi niektoré spoločnosti, ktoré mali svoje údaje uvedené na stránke, patrí singapurský telekomunikačný poskytovateľ SingTel, American Bureau of Shipping, právnická firma Jones Day, holandská Fugro a spoločnosť zaoberajúca sa biologickými viedami Danaher.

Po hromadení útokov spoločnosť Accellion opravila štyri zraniteľnosti FTA, o ktorých bolo známe, že ich zneužili aktéri hrozieb, okrem toho začlenila nové možnosti monitorovania a varovania, aby bolo možné upozorniť na akékoľvek podozrivé správanie. Chyby sú nasledovné –

  • CVE-2021-27101 – Injekcia SQL prostredníctvom vytvorenej hlavičky hostiteľa
  • CVE-2021-27102 – Vykonávanie príkazov OS prostredníctvom volania miestnej webovej služby
  • CVE-2021-27103 – SSRF prostredníctvom vytvorenej požiadavky POST
  • CVE-2021-27104 – Vykonanie príkazu OS prostredníctvom vytvorenej požiadavky POST

Tím pre spravodajstvo o hrozbách Mandiant FireEye, ktorý vedie úsilie o reakciu na incidenty, sleduje následnú schému vydierania v rámci samostatného zoskupenia hrozieb, ktoré nazýva UNC2582, napriek „presvedčivým“ prekrývaniam identifikovaným medzi dvoma skupinami škodlivých aktivít a predchádzajúcimi útokmi vykonanými finančne motivovaná hackerská skupina s názvom FIN11.

“Mnohé z organizácií ohrozených UNC2546 boli predtým terčom FIN11,” povedal FireEye. “Niektoré vydieračské e-maily podľa UNC2582 pozorované v januári 2021 boli odoslané z IP adries a/alebo e-mailových účtov používaných FIN11 vo viacerých phishingových kampaniach medzi augustom a decembrom 2020.”

Po inštalácii sa webový shell DEWMODE využil na sťahovanie súborov z napadnutých inštancií FTA, čo viedlo k tomu, že obete o niekoľko týždňov neskôr dostávali vydieračské e-maily, ktoré tvrdili, že pochádzajú z „tímu ransomvéru CLOP“.

Nedostatok včasnej odpovede by viedol k ďalším e-mailom odoslaným širšej skupine príjemcov v organizácii obetí, ako aj jej partnerom, ktoré by obsahovali odkazy na ukradnuté údaje, uviedli výskumníci.

Okrem naliehania na svojich zákazníkov FTA, aby migrovali na kiteworks, Accellion uviedol, že menej ako 100 z 300 celkových klientov FTA bolo obeťami útoku a že menej ako 25 podľa všetkého utrpelo „významnú“ krádež údajov.

Tento vývoj prichádza po tom, čo potravinový reťazec Kroger minulý týždeň zverejnil, že údaje o ľudských zdrojoch, záznamy lekární a záznamy o peňažných službách patriace niektorým zákazníkom mohli byť ohrozené v dôsledku incidentu Accellion.

Dnes skôr sa Transport for New South Wales (TfNSW) stal posledným subjektom, ktorý potvrdil, že bol ovplyvnený celosvetovým únikom údajov Accellion.

“Systém Accellion bol široko používaný na zdieľanie a ukladanie súborov organizáciami po celom svete, vrátane Transport for NSW,” uviedla austrálska agentúra. “Pred tým, ako bol útok na servery Accellion prerušený, boli zachytené nejaké informácie Transport for NSW.”