info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

شناسایی عاملین حمله به سرورهای شرکت آمریکایی Accellion

خلاصه: تیم اطلاعات تهدید Mandiant FireEye اعلام کرد حملات روز صفری که سرورهای انتقال فایل شرکت Accellion را مورد حمله قرار داده‌اند؛ به احتمال زیاد توسط گروهی سایبری موسوم به FIN11 صورت گرفته ‌است. سرویس انتقال فایل شرکت Accellion که راهی برای به اشتراک‌گذاری و انتقال ایمن فایل‌های بزرگ و حساس است در این حملات مورد هدف قرار گرفته است. با بررسی پیشینه این حملات می‌توان دید دسامبر سال ۲۰۲۰ مهاجمان ناشناخته‌ای شروع به سوءاستفاده از آسیب‌پذیری‌های  سرویس انتقال فایل Accellion کرده‌اند.

تیم اطلاعات تهدید Mandiant FireEye اعلام کرد حملات روز صفری که سرورهای انتقال فایل شرکت Accellion را مورد حمله قرار داده‌اند؛ به احتمال زیاد توسط گروهی سایبری موسوم به FIN11 صورت گرفته ‌است. سرویس انتقال فایل شرکت Accellion که راهی برای به اشتراک‌گذاری و انتقال ایمن فایل‌های بزرگ و حساس است در این حملات مورد هدف قرار گرفته است. با بررسی پیشینه این حملات می‌توان دید دسامبر سال ۲۰۲۰ مهاجمان ناشناخته‌ای شروع به سوءاستفاده از آسیب‌پذیری‌های  سرویس انتقال فایل Accellion کرده‌اند.

گرچه شرکت Accellion سال‌هاست مشتریان خود را  به استفاده از پلت‌فرم جدید‌تر و امن‌تر این شرکت تشویق می‌کند؛ هنوز مشتریان بسیاری از نسخه‌های قدیمی‌تر FTA استفاده می‌کنند که بعضاً در این حملات مورد سوءاستفاده واقع شده‌اند. مهم‌ترین این مشتریان عبارتند از: کمیسیون سرمایه‌گذاری اوراق بهادار استرالیا، مخابرات سنگاپور Singtel، بانک مرکزی نیوزلند، دانشگاه کلرادو شرکت حقوقی JonesDay، خرده‌فروشی آمریکایی Kroger.

هفته گذشته زنجیره مواد غذایی Kroger فاش کرد که داده های منابع انسانی، سوابق داروخانه‌ها و سوابق خدمات مالی مربوط به برخی مشتریان ممکن است در نتیجه حادثه Accellion به خطر افتاده باشد.تا  امروز، حمل‌و‌نقل  نیو ساوت ولز (TfNSW) آخرین نهادی است که تأیید کرده مورد حمله واقع شده است.

 روز دوشنبه، شرکت Accellion تایید کرد که از حدود ۳۰۰ مشتری سرویس انتقال فایل این شرکت، کمتر از ۱۰۰ مشتری مورد هدف این حملات قرار گرفته‌اند که از این تعداد قربانی کمتر از ۲۵ مورد سرقت قابل‌توجهی از داده‌ها را تجربه‌کرده‌اند.

این شرکت آسیب‌پذیری‌های مورد سوءاستفاده را وصله کرده ‌است؛ لیکن هم‌چنان کاربران خود را به استفاده از Kiteworks توصیه می‌کند. این محصول، بستری است که محتوای سازمانی آن بر اساس یک کد کاملاً متفاوت و با استفاده از پیشرفته‌ترین معماری امنیتی و یک فرآیند جداگانه و امن devOps ایجاد شده است. از زمان آغاز حملات، این شرکت وصله‌های ختلفی را برای رفع اشکالات مورد استفاده در حملات منتشرکرده است. بیشتر آن که Accellion اعلام کرده است که تصمیم به بازنشستگی نرم‌افزار سرور FTA  قدیمی در تاریخ ۳۰ آوریل ۲۰۲۱ (اواخر سال جاری) دارد.

چنانچه گفته شد اولین فعالیت این کمپین اواسط دسامبر ۲۰۲۰ بوده است. در این زمان Mandiant، UNC2546 را شناسایی کرد که از یک آسیب‌پذیری تزریق  SQL درAccellion FTA  سوءاستفاده کرده بود. این تزریق SQL به عنوان بردار اصلی نفوذ عمل می‌کند.

پس از دسترسی مهاجمان، آن‌ها موفق شدند پوسته وبی (DEWMODE) را برای سیستم بنویسند که لیستی از فایل‌های موجود از پایگاه داده FTA MySQL را استخراج می‌کند. مهاجمان از این لیست برای بارگیری پرونده‌ها از طریق پوسته وب DEWMODE استفاده کرده و سپس یک روال پاک‌سازی را آغاز کردند.

این فرآیند به سرعت اتفاق افتاد؛ اما چندین هفته طول کشیده تا قربانیان ایمیل‌های باج‌گیری را دریافت‌کنند که شامل شرح داده‌های به سرقت‌رفته و تهدیدی بود که در صورت پرداخت نکردن بیت کوین، مهاجمان داده‌های سرقت شده را در سایت گروه باج افزاری Clop منتشر خواهند کرد.

به گفته محققان، مهاجمان با ارسال ایمیل برای شرکای تجاری قربانیان -که با داده‌های سرقت شده مرتبط بودند- فشار را بر روی قربانیان برای پرداخت مطالبات اخاذی بیشتر می‌کردند.

هنوز مشخص نیست که آیا هیچ یک از قربانیان در پایان باجی پرداخت کرده است یا نه؟ البته با نظارت بر وب‌سایت Clop مشاهده شده است که این گروه تهدید اقدام به انتشار داده‌های سرقت‌شده کرده ‌‌است. چندین قربانی جدید در این سایت در هفته‌های اخیر ظاهر شده‌اند؛ از جمله یک سازمان که به صورت علنی تأیید کرده است که دستگاه Accellion FTA آن‌ها مورد هدف واقع شده است.

Mandiant با ذکر شواهدی ادعا می‌کند که این مهاجمان به مهاجمان گروه جرایم سایبری FIN11 مرتبط هستند؛ از جمله:

  • بسیاری از سازمان های تسخیر‌شده وسط UNC2546 قبلاً توسط FIN11 هدف قرار گرفته بودند. برخی از نامه‌های ایمیل باجگیری UNC2582 که در ژانویه ۲۰۲۱ مشاهده شده است از آدرس‌های IP و یا حساب‌های ایمیل استفاده شده توسط FIN11 در چندین برنامه فیشینگ بین آگوست و دسامبر ۲۰۲۰ ارسال شده است.
  • آدرس IP که با پوسته وب DEWMODE ارتباط برقرار کرده بود در "Fortunix Networks L.P" بود. netblock ، شبکه ای است که توسط FIN11 برای میزبانی از دامنه های بارگیری و C&C اغلب استفاده می‌شود.
  • هم‌چنین، آن‌ها خاطرنشان کردند، بسیاری از سازمان‌هایی که سوءاستفاده از FTA و نصب DEWMODE را تجربه کرده‌اند قبلا توسط FIN11 هدف قرار گرفته‌اند.