黑客在勒索攻击中利用Accellion零日漏洞

网络安全研究人员周一将过去两个月中针对Accellion File Transfer Appliance（FTA）服务器的一系列攻击与名为UNC2546的网络犯罪组织精心策划的数据盗窃和勒索活动联系在一起。

攻击始于2020年12月中，涉及利用旧版FTA软件中的多个零日漏洞，在受害网络上安装名为DEWMODE的新Web Shell并泄露敏感数据，然后将其发布在由Microsoft运营的数据泄漏网站上CLOP勒索软件帮派。

但是，与此相反，最近发生在美国，新加坡，加拿大和荷兰的组织中的任何事件中实际上都没有部署勒索软件，这些参与者反而利用勒索电子邮件来威胁受害者支付比特币勒索。

据Risky Business称，在网站上列出其数据的一些公司包括新加坡的电信提供商SingTel，美国运输局，仲量联行律师事务所，位于荷兰的Fugro和生命科学公司Danaher。

在一系列攻击之后，Accelion修补了已知由威胁参与者利用的四个FTA漏洞，此外还合并了新的监视和警报功能以标记任何可疑行为。缺陷如下-

• CVE-2021-27101-通过精心制作的Host标头进行SQL注入

• CVE-2021-27102-通过本地Web服务调用执行OS命令

• CVE-2021-27103-通过精心制作的POST请求进行SSRF

• CVE-2021-27104-通过精心制作的POST请求执行OS命令

FireEye的Mandiant威胁情报小组正在领导事件响应工作，它在称为UNC2582的单独威胁集群下跟踪后续勒索方案，尽管两组恶意活动之间的“强制性”重叠和由攻击者进行的先前攻击具有财务动机的黑客组织称为FIN11。

FireEye说：“许多受到UNC2546影响的组织以前都是FIN11的攻击目标。” “在2021年1月观察到的某些UNC2582勒索电子邮件是从FIN11在2020年8月至2020年12月的多次网络钓鱼活动中使用的IP地址和/或电子邮件帐户发送的。”

安装后，利用DEWMODE Web Shell从受感染的FTA实例下载文件，导致受害者在几周后收到声称是“ CLOP勒索软件团队”的勒索电子邮件。

研究人员详细介绍，如果不及时答复，将导致向受害组织及其合作伙伴的更多收件人发送更多电子邮件，其中包含指向被盗数据的链接。

Accellion表示，除了敦促其FTA客户迁移到kiteworks之外，在300名FTA客户中，只有不到100名是该攻击的受害者，而遭受“重大”数据盗窃的人数似乎不到25名。

在食品杂货连锁店克罗格（Kroger）上周透露，属于某些客户的人力资源数据，药房记录和货币服务记录可能由于Accellion事件而受到损害之后，才出现了这种情况。

然后，今天早些时候，新南威尔士州运输局（TfNSW）成为确认其已受到全球Accellion数据泄露影响的最新实体。

澳洲机构说： “ Accelion系统被包括NSW运输公司在内的世界各地的组织广泛使用，用于共享和存储文件。” “在对Accellion服务器的攻击被中断之前，已采取了一些针对NSW信息的传输。”

原文来自: TheHackerNews