Vydieračský gang porušuje kvalifikácie firmy v oblasti kybernetickej bezpečnosti pomocou Accellion Exploit

Firemná cloudová bezpečnostná firma Qualys sa stala poslednou obeťou, ktorá sa pripojila k dlhému zoznamu subjektov, ktoré utrpeli únik údajov po tom, čo boli zneužité nulové zraniteľnosti v jej serveri Accellion File Transfer Appliance (FTA) na krádež citlivých obchodných dokumentov.

Ako dôkaz prístupu k údajom kyberzločinci stojaci za nedávnymi hackmi zameranými na servery Accellion FTA zdieľali snímky obrazovky súborov patriacich zákazníkom spoločnosti na verejne prístupnej webovej stránke pre únik údajov, ktorú prevádzkuje gang ransomvéru CLOP.

Potvrdzujúci incident, riaditeľ pre informačnú bezpečnosť spoločnosti Qualys Ben Carr uviedol, že podrobné vyšetrenie „identifikovalo neoprávnený prístup k súborom hosteným na serveri Accellion FTA“, ktorý sa nachádza v prostredí DMZ (alias demilitarizovanej zóny), ktoré je oddelené od zvyšku internej siete.

“Na základe tohto vyšetrovania sme okamžite informovali obmedzený počet zákazníkov, ktorých sa tento neoprávnený prístup dotkol,” dodal Carr. “Vyšetrovanie potvrdilo, že neoprávnený prístup bol obmedzený na server FTA a nemal vplyv na žiadne poskytované služby ani prístup k údajom zákazníkov hosteným platformou Qualys Cloud.”

Minulý mesiac tím FireEye Mandiant pre spravodajstvo o hrozbách zverejnil podrobnosti o štyroch chybách zero-day v aplikácii FTA, ktoré boli zneužité aktérmi hrozieb na spustenie rozsiahlej kampane proti krádeži a vydieraniu údajov, ktorá zahŕňala nasadenie webového shellu s názvom DEWMODE na cieľové siete. exfiltrovať citlivé údaje, po ktorom nasledovalo posielanie vydieračských e-mailov s cieľom vyhrážať sa obetiam zaplatením bitcoinového výkupného, ​​v opačnom prípade boli ukradnuté údaje zverejnené na stránke úniku údajov.

Zatiaľ čo dve z chýb (CVE-2021-27101 a CVE-2021-27104) vyriešil Accellion 20. decembra 2020, ďalšie dve chyby (CVE-2021-27102 a CVE-2021-27103) boli identifikované začiatkom tohto roka. a opravené 25. januára.

Qualys uviedol, že dostal „upozornenie na integritu“ naznačujúce možný kompromis 24. decembra, dva dni po aplikovaní počiatočnej rýchlej opravy 22. decembra. Spoločnosť nepovedala, či v dôsledku porušenia dostala vydieracie správy, ale uviedla, že vyšetrovanie incidentu prebieha.

“Využité zraniteľnosti boli kritickej závažnosti, pretože boli predmetom zneužitia prostredníctvom neovereného vzdialeného spustenia kódu,” uviedol Mandiant v hodnotení bezpečnosti softvéru FTA zverejnenom začiatkom tohto týždňa.

Okrem toho analýza zdrojového kódu Mandiant odhalila ďalšie dve predtým neznáme bezpečnostné chyby v softvéri FTA, pričom obe boli opravené v oprave (verzia 9.12.444) vydané v marci 1 —

  • CVE-2021-27730: Zraniteľnosť týkajúca sa vstrekovania argumentov (skóre CVSS 6.6) prístupné iba overeným používateľom s oprávneniami správcu a
  • CVE-2021-27731: Uložená chyba skriptovania medzi stránkami (skóre CVSS 8.1) prístupné iba bežným overeným používateľom

Dcérska spoločnosť vlastnená FireEye sleduje aktivitu vykorisťovania a následnú schému vydierania v rámci dvoch samostatných skupín hrozieb, ktoré nazýva UNC2546 a UNC2582, s prekrývaním identifikovaným medzi týmito dvoma skupinami a predchádzajúcimi útokmi, ktoré vykonal finančne motivovaný aktér hrozieb nazývaný FIN11. . Stále však nie je jasné, aké spojenie, ak vôbec nejaké, môžu mať tieto dva klastre s operátormi ransomvéru Clop.