このレポートでは、Accellion File Transfer Applianceの侵害の概要と、結果として発生した侵害で使用されたDEWMODE Webシェルの分析について説明します。 Insikt Group は、この調査を実施するために、オープン・ソース研究 (OSINT)、PolySwarm、マルウェア分析、および Recorded Future® Platform を使用しました。 この調査の対象読者には、日常的なセキュリティ実務家だけでなく、サードパーティのシステムやソフトウェアの標的化に関心のある経営幹部の意思決定者も含まれます。

Executive Summary

Accellion File Transfer Appliance(FTA)ファイル共有サービスの侵害は、同社の約100のクライアントに影響を与えましたが、主にツールの4つのゼロデイ脆弱性により、脅威アクターが被害者のサーバーにDEWMODE Webシェルを配置し、それらのサーバーからファイルを盗み出すことができました。 2021年2月25日現在、Accellion FTAの侵害により、複数のセクター(金融、政府、法律、教育、通信、ヘルスケア、小売、製造)および複数の国(オーストラリア、ニュージーランド、シンガポール、英国、米国)の13の組織がデータ侵害の被害に遭っています。 被害者のデータがWebサイトCL0P LEAKSに表示され、このWebサイトの運営者とClopランサムウェアの背後にいる攻撃者との間にリンクが確立されています。 近い将来、新たな被害者の報告がある可能性が高く、これらの被害者は、すでに報告されているもの以外にも、他の業界や国に所属しているのではないかと思われます。 お客様の環境でAccellion FTAを使用しているお客様は、ソフトウェアをバージョンFTA_9_12_416以降に更新し、Insikt Groupが推奨する緩和策を使用して、これらのサーバーに関連する悪意のある動作を探すことをお勧めします。

背景

2021年1月10日、 ニュージーランド準備銀行 は、サードパーティのファイル共有サービスのデータ侵害、侵害によるハッキング、ハッキングを報告し、その後すぐにAccellionとして特定されました。 銀行は侵害に関する 声明 を発表し、その翌日にハッキング、その中で侵害、ハッキングは商業的および個人的な機密情報を暴露した可能性があると述べた。 準備銀行総裁のエイドリアン・オア氏は、準備銀行は特に標的にされておらず、アセリオンFTAの他のユーザーも侵害、ハッキングされているとアッセリオンから助言を受けたと述べた。

その直後の1月12日、Accellionは プレスリリース で、レガシーFTAソフトウェアの「P0脆弱性」の影響を受けたのは「50社未満の顧客」であると述べました。 さらに、この脆弱性を初めて知ったのは2020年12月中旬で、その後「影響を最小限に抑えた72時間で」パッチがリリースされたと主張した。

主な判断

• Accellion FTAのデータ侵害は、SQLインジェクションの脆弱性であるCVE-2021-27101を通じて初期アクセスが得られた4つのゼロデイ脆弱性によって可能になりました。
• 本キャンペーンに関する報告の過程でAccellionが発表した記述の変更を踏まえると、当社はこれらの脆弱性に関連する侵害の程度についてまだ十分に認識していない可能性があります。 さらに、Accellionのクライアントを含む業界や国の数から、今後、Accellion FTAの悪用に関する報告では、これまでに報告されたよりも多くの企業、業界、国が明らかになると思われます。

脅威分析

Accellionの最初のプレスリリースから数週間以内に、他の複数の企業がAccellion FTAの悪用により発生したデータ侵害を公開しました。 さらに、Accellion FTA侵害の被害者のデータがWebサイトCL0P LEAKSに表示され始め、このWebサイトの運営者とClopランサムウェアの背後にいる攻撃者との間にリンクが確立されました。 Accellionが2月22日に発表した被害者候補の数と、本稿執筆時点(3月12日)までに被害者のリストが拡大していることから、来月にかけて同様の報告がさらに増えると予想されます。 次のタイムラインは、新たな被害者の開示、セキュリティ研究者の分析、Accellion 自体からの更新を追跡しています。

• 1月22日 — オーストラリアの法律事務所 Allens は、データ侵害、Accellion FTAによるハッキング侵害、ハッキングを報告しました。
• 1月25 日 — オーストラリア証券投資委員会 は、1月15日にデータ侵害、Accellion FTAによる侵害、ハッキングに気付いたことを明らかにしました。
• 2月2日 — 米国の法律事務所 グッドウィン・プロクターは、オーストラリア人またはニュージーランド人以外の最初の被害者であり、データ侵害、ハッキング due to Accellion FTA 侵害、ハッキングを開示しました。
• 2月4日 — 米国ワ シントン州監査局 は、Accellion FTAによるハッキング侵害、ハッキングによるデータ侵害を開示しました。
• 2月9日 — オープン情報源 コ ロラド大学 がデータ侵害、ハッキング による Accellion FTA 侵害、ハッキングを報告しました。
• 2月11 日 — シンガポールの通信会社Singtelとオーストラリアの医学研究機関QIMR Berghoferは、Accellion FTAによるハッキング侵害、ハッキングを開示しました。 QIMR Berghofer は、1月4日に緊急パッチを実装するようAccellionから依頼されたと主張しています。そして2月2日、アッセリオンは研究所に対し、侵害、ハッキングを受けた可能性があると警告した。
• 2月16日 — 米国の法律事務所 ジョーンズ・デイ は、データ侵害、ハッキング due to Accellion FTA 侵害、ハッキングを確認しました。 Accellion は GitHub ページで、FTA ソフトウェアの 4 つの脆弱性 CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104 の説明を公開しています。
• 2月17日 — オープン 情報源 ジョーンズデイのデータがCL0P LEAKS恐喝ウェブサイトに掲載されたと 報告 し、他の組織が侵害、ハッキング Accellion FTAを介して、これらの犯罪者から同様のデータサイバーエクスポージャーに直面する可能性が導入されました。
• 2月19日 — 米国の食料品チェーンクロー ガー がデータを開示 侵害、ハッキング due to Accellion FTA 侵害、ハッキング。
• 2月21日 — Recorded Futureデータにより、CL0P LEAKSのウェブサイトにジョーンズ・デイのデータが掲載されたことが確認されました。
• 2月22 日 — FireEyeは、Accellion FTA侵害、ハッキングとUNC2546として知られるグループ、サイバー犯罪グループFIN11、Clopランサムウェア攻撃を介して盗まれたデータの恐喝サイトの運営者、およびDEWMODEと呼ばれるWebシェルとのリンクを詳述した ブログ をリリースしました。 同日、アッセリオンは「FTAの顧客総数約300社のうち、攻撃の被害者は100社未満だった」という 声明 を発表した。
• 2月23 日 — カナダの航空機メーカーである ボンバルディア とオーストラリア政府機関の ニューサウスウェールズ州交通局 が、Accellion FTAによる侵害、ハッキングによるデータ侵害、ハッキングを開示しました。
• 2月24 日 — Recorded Futureは、CL0P LeaksのWebサイトでSingtelとBombardierのデータエクスポージャーを記録しました。ファイブアイズのメンバーは、Accellion FTAの脆弱性を悪用した進行中の攻撃に関する 共同勧告 を発行します。アドバイザリーには、影響を受ける組織は「オーストラリア、ニュージーランド、シンガポール、英国 [データ侵害、ハッキングをまだ開示していない組織がない]、および米国」にあると述べています。 オープンな情報源 米国の健康保険会社 センテネ がデータ侵害のもう一つの被害者であることが明らかになった 侵害、ハッキング による Accellion FTA 侵害、ハッキング。
• 3月3 日 — セキュリティ会社Qualysは、脆弱なAccellion FTAサーバーからのデータ侵害、ハッキングに見舞われたと 発表 しました。 CL0P LEAKSは、発注書、請求書、税務書類、スキャンレポートなどのデータを含む、Qualysから盗まれたとされるファイルのスクリーンショットを 公開 しました。
• 3月6日 — Flagstar Bankは、2021年1月22日にFlagstarにセキュリティ問題を通知したAccellion FTA侵害の影響を受けたことを顧客に 通知 しました。 フラッグスターは現在、FTAの使用を永久に中止しました。フラッグスターは、その結果、顧客データは影響を受けたが、業務には影響はなかったと述べている。Flagstar のデータは 3 月 9 日に CL0P LEAKS で 公開 されました。

潜在的な搾取の範囲に関するAccellionの解説は、最初の開示から変更されています。 1月12日、同社は影響を受けた顧客は50人未満であると述べました。2月22日までに、同社はこれをFTAクライアントの合計300社のうち100社未満に修正しました。

以下のグラフは、Accellion FTAの脆弱性の悪用によって公共部門が最も影響を受けていることを示しています。しかし、Accellionが 公表 している顧客業界の分布に基づくと、ヘルスケア、金融、エネルギーセクターは、公に報告されているよりも大きな影響を受けているのではないかと思われます。

ファイブアイズのレポートと私たちの調査で、Accellion FTA侵害の被害者を受け入れている国(オーストラリア、カナダ、ニュージーランド、シンガポール、英国、米国)は、これまでの被害者の分布に基づいて、この一連の攻撃の影響を最も受け続けると予想しています。 しかし、これらの攻撃がこれらの国を限定的に標的にしているとは考えていません。 さらに、下の地図が示すように、Accellion の顧客を受け入れている国 (したがって、搾取の潜在的な被害者) は、フランス、ドイツ、イスラエル、イタリア、日本、オランダなど、他にもいくつかあります。

軽減策

Accellionの侵害やDEWMODEのWebシェルに関連して使用されたTTPは広く公表されており、脅威アクターは検出を回避するためにTTPを変更する可能性がありますが、Insikt Groupは次の緩和策をアドバイスしています。

• このキャンペーンから組織に対するサードパーティーのリスクを監視します。 潜在的な監視パラメータには、Accellion FTAを使用する企業に対する公開報告されたサイバー攻撃、CL0P LEAKS Webサイト上の漏洩データへの新しい参照、UNC2546、FIN11、またはClopランサムウェアに関連する脅威グループまたはマルウェアが含まれます。
• Accellion は、この侵害に関連するすべての脆弱性に対するパッチをリリースしており、Accellion FTA サーバーを使用している組織はバージョン FTA_9_12_416 に更新する必要があります。
• システムでAccellion FTAを実行している場合は、パッチが適用されるまでシステムをインターネットから分離することを検討してください。
• 悪意のある動作が特定された場合、CISAはシステム上の「W1」暗号化トークンおよびその他のセキュリティトークンをリセット することを推奨します 。
• AccellionのFTA製品は、2021年4月30日にサポート終了となります。この製品を使用しているクライアントは、FTA の EOL が近づくにつれて、ファイル共有プラットフォームの移行先の代替オプションを検討する必要があります。

あなたの組織が脆弱なバージョンのAccellion FTAを実行していた場合、侵害があったかどうかを判断するためにインシデント対応調査を実施する必要があります。 次の方法を使用して、ログ データを調べて侵害の兆候を確認できます。

• 組織は、DEWMODE Webシェルに関連する次のようなネットワーク要求を監視する必要があります。
• /about.html?dwn=[暗号化パス]&fn=[暗号化ファイル名]へのGETリクエスト
• /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c への GET リクエスト
• /about.html?aid=1000 への GET リクエスト
• CISAによると、ポート443から194.88.104[.]24 また、複数のTCPセッションがIPアドレス45.135.229[.]179.
• 次のファイルシステムイベントが侵害に関連付けられていました。
• /home/seos/courier または /home/httpd/html に "about.html" を作成
• ファイル/courier/oauth.apiに書き込みます。 ここで、含まれているデータは、上記の eval シェルの説明と一致します
• /courier/document_root.html または /courier/sftp_account_edit.php にアクセスします。
• Apache ログディレクトリ /var/opt/apache に含まれるログに対するいくつかの変更
• 他の研究者は、この脅威活動を Clop ランサムウェアの 背後にいる 脅威アクターとさまざまな程度の確信を持って関連付けていますが、Insikt Group はこれを確認または反論するのに十分な情報を持っていません。

今後の展望

本キャンペーンに関する報告の過程でAccellionが発表した記述の変更を踏まえると、当社はこれらの脆弱性に関連する侵害の程度についてまだ十分に認識していない可能性があります。 さらに、Accellionのクライアントを含む業界や国の数から、今後、Accellion FTAの悪用に関する報告では、これまでに報告されたよりも多くの企業、業界、国が明らかになると思われます。

Accellion FTAなどの製品のサポートが終了に近づくと、開発者のサポートが少なくなり、今後の更新の監視ができなくなる可能性があります。 テクノロジースタックにソフトウェアまたはハードウェアがあり、サポートが終了した、またはサポート終了が近づいている組織は、これらの製品を引き続き監視し、これらのツールをより最新のサポート対象ツールに移行する戦略を開発する必要があります。