更多全球网络安全资讯尽在邑安全
网络安全研究人员周一将过去两个月中针对Accellion File Transfer Appliance(FTA)服务器的一系列攻击与名为UNC2546的网络犯罪组织精心策划的数据盗窃和勒索活动联系在一起。
攻击始于2020年12月中,涉及利用旧版FTA软件中的多个零日漏洞,在受害网络上安装名为DEWMODE的新Web Shell并泄露敏感数据,然后将其发布在由Microsoft运营的数据泄漏网站上CLOP勒索软件帮派。
但是,与此相反,最近发生在美国,新加坡,加拿大和荷兰的组织中的任何事件中实际上都没有部署勒索软件,这些参与者反而利用勒索电子邮件来威胁受害者支付比特币勒索。
据Risky Business称,在网站上列出其数据的一些公司包括新加坡的电信提供商SingTel,美国运输局,仲量联行律师事务所,位于荷兰的Fugro和生命科学公司Danaher。
在一系列攻击之后,Accelion修补了已知由威胁参与者利用的四个FTA漏洞,此外还合并了新的监视和警报功能以标记任何可疑行为。缺陷如下-
-
CVE-2021-27101-通过精心制作的Host标头进行SQL注入
-
CVE-2021-27102-通过本地Web服务调用执行OS命令
-
CVE-2021-27103-通过精心制作的POST请求进行SSRF
-
CVE-2021-27104-通过精心制作的POST请求执行OS命令
FireEye的Mandiant威胁情报小组正在领导事件响应工作,它在称为UNC2582的单独威胁集群下跟踪后续勒索方案,尽管两组恶意活动之间的“强制性”重叠和由攻击者进行的先前攻击具有财务动机的黑客组织称为FIN11。
FireEye说:“许多受到UNC2546影响的组织以前都是FIN11的攻击目标。” “在2021年1月观察到的某些UNC2582勒索电子邮件是从FIN11在2020年8月至2020年12月的多次网络钓鱼活动中使用的IP地址和/或电子邮件帐户发送的。”
安装后,利用DEWMODE Web Shell从受感染的FTA实例下载文件,导致受害者在几周后收到声称是“ CLOP勒索软件团队”的勒索电子邮件。
研究人员详细介绍,如果不及时答复,将导致向受害组织及其合作伙伴的更多收件人发送更多电子邮件,其中包含指向被盗数据的链接。
Accellion表示,除了敦促其FTA客户迁移到kiteworks之外,在300名FTA客户中,只有不到100名是该攻击的受害者,而遭受“重大”数据盗窃的人数似乎不到25名。
在食品杂货连锁店克罗格(Kroger)上周透露,属于某些客户的人力资源数据,药房记录和货币服务记录可能由于Accellion事件而受到损害之后,才出现了这种情况。
然后,今天早些时候,新南威尔士州运输局(TfNSW)成为确认其已受到全球Accellion数据泄露影响的最新实体。
澳洲机构说: “ Accelion系统被包括NSW运输公司在内的世界各地的组织广泛使用,用于共享和存储文件。” “在对Accellion服务器的攻击被中断之前,已采取了一些针对NSW信息的传输。”
原文来自: TheHackerNews
原文链接: https://thehackernews.com/2021/02/hackers-exploit-accellion-zero-days-in.html
推荐文章
1
2
本文始发于微信公众号(邑安全):黑客在勒索攻击中利用Accellion零日漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论