이 보고서는 Accellion 파일 전송 어플라이언스 침해에 대한 개괄적인 개요와 침해에 사용된 DEWMODE 웹셸에 대한 분석을 제공합니다. 인식트 그룹은 이 연구를 수행하기 위해 오픈 소스 리서치(OSINT), PolySwarm, 멀웨어 분석, Recorded Future® 플랫폼을 사용했습니다. 이 연구의 대상에는 일상적인 보안 실무자뿐만 아니라 타사 시스템 및 소프트웨어의 표적 공격에 대해 우려하는 경영진의 의사 결정권자도 포함됩니다.

Executive Summary

약 100개의 고객사에 영향을 미친 Accellion 파일 전송 어플라이언스(FTA) 파일 공유 서비스의 침해는 주로 툴의 제로데이 취약점 4개를 통해 위협 행위자가 DEWMODE 웹 셸을 피해자 서버에 배치하고 해당 서버에서 파일을 유출할 수 있게 해주었습니다. 2021년 2월 25일 현재 여러 분야(금융, 정부, 법률, 교육, 통신, 의료, 소매, 제조)와 여러 국가(호주, 뉴질랜드, 싱가포르, 영국, 미국)의 13개 조직이 Accellion FTA 협상의 결과로 데이터 유출을 겪었습니다. 피해자 데이터가 CL0P LEAKS 웹사이트에 나타나 이 웹사이트 운영자와 Clop 랜섬웨어 배후 공격자 간의 연결 고리가 확인되었습니다. 가까운 시일 내에 추가 피해자가 보고될 것으로 보이며, 이미 보고된 것 외에도 추가적인 산업과 국가에 피해자가 있을 것으로 예상됩니다. 해당 환경에서 Accellion FTA를 사용하는 고객은 소프트웨어를 FTA_9_12_416 버전 이상으로 업데이트하고 Insikt Group의 권장 완화 조치를 사용하여 이러한 서버에서 관련 악성 행위를 찾는 것이 좋습니다.

배경

2021년 1월 10일, 뉴질랜드 중앙은행은 제3자 파일 공유 서비스의 보안 침해로 인한 데이터 유출 사고를 보고했으며, 이후 해당 서비스가 Accellion으로 확인되었습니다. 은행은 침해 사고 발생 다음 날 성명을 발표했으며, 이 성명에서 침해 사고로 인해 상업적 및 개인적 민감 정보가 유출되었을 가능성이 있다고 밝혔습니다. 중앙은행 총재 아드리안 오르는 Accellion으로부터 중앙은행이 특정 대상으로 표적화되지 않았으며, Accellion FTA를 사용하는 다른 사용자들도 해킹당했다는 통보를 받았다고 밝혔습니다.

그 직후인 1월 12일, Accellion은 보도자료를 통해 "50명 미만의 고객" 이 자사의 레거시 FTA 소프트웨어에 존재하는 "P0 취약점" 에 영향을 받았다고 밝혔습니다. 그들은 또한 해당 취약점을 2020년 12월 중순에 처음 알게 되었다고 주장했으며, 이후 72시간 내에 패치가 출시되었다고 밝혔습니다. "최소한의 영향으로".

주요 판단

• Accellion FTA 데이터 유출은 4개의 제로데이 취약점에 의해 발생했으며, 초기 액세스 권한은 SQL 인젝션 취약점인 CVE-2021-27101을 통해 획득했습니다.
• 이 캠페인에 대한 보고 과정에서 Accellion의 진술이 변경된 것을 보면, 회사는 이러한 취약점과 관련된 침해의 범위를 아직 완전히 파악하지 못한 것으로 보입니다. 또한, Accellion의 고객사가 포함된 산업 및 국가 수를 고려할 때, 향후 Accellion FTA 악용에 대한 보고서에는 이전에 보고된 것보다 더 많은 기업, 산업 및 국가가 공개될 것으로 예상됩니다.

위협 분석

Accellion의 첫 보도 자료가 나온 지 몇 주 만에 다른 여러 회사에서 Accellion FTA를 악용하여 발생한 데이터 유출을 공개했습니다. 또한, Accellion FTA 침해 피해자의 데이터가 CL0P LEAKS 웹 사이트에 나타나기 시작하여 이 웹 사이트 운영자와 Clop 랜섬웨어의 배후 공격자 사이에 연결 고리가 형성되었습니다. 2월 22일 Accellion이 공개한 잠재적 피해자 수와 이 글을 쓰는 시점(3월 12일)까지 확대된 피해자 명단에 따르면, 앞으로 한 달 동안 유사한 신고가 추가로 접수될 것으로 예상됩니다. 다음 타임라인은 새로운 피해자 공개, 보안 연구원의 분석 및 Accellion 자체의 업데이트를 추적합니다.

• 1월 22일 — 호주 법률 사무소 Allens는 Accellion FTA의 보안 침해로 인해 데이터 유출 사고를 보고했습니다.
• 1월 25일 — 호주 증권투자위원회(ASIC) 는 1월 15일, Accellion FTA의 보안 침해로 인해 데이터 유출 사건이 발생했다는 사실을 공개했습니다.
• 2월 2일 — 미국 법률 사무소 Goodwin Procter가 호주나 뉴질랜드 이외의 첫 번째 피해자로, Accellion FTA 취약점 악용으로 인한 데이터 유출 사고를 공개했습니다.
• 2월 4일 — 미국 워싱턴주 감사관실은 Accellion FTA의 보안 침해로 인한 데이터 유출 사실을 공개했습니다.
• 2월 9일 — 오픈소스 보고서에 따르면 콜로라도 대학교가 Accellion FTA 취약점 악용으로 인해 데이터 유출 사고를 겪었습니다.
• 2월 11일 — 싱가포르 통신업체 싱텔(Singtel)과 호주 의료 연구 기관 QIMR Berghofer가 Accellion FTA 취약점 악용으로 인한 데이터 유출 사고를 공개했습니다. QIMR Berghofer는 Accellion으로부터 1월 4일에 긴급 패치를 적용해 달라는 요청을 받았다고 주장했습니다. 이후 2월 2일, Accellion은 해당 기관에 시스템이 침해되었을 가능성이 있다고 경고했습니다.
• 2월 16일 — 미국 법률 사무소 존스 데이(Jones Day)는 Accellion FTA의 보안 침해로 인한 데이터 유출 사실을 확인했습니다. Accellion은 GitHub 페이지에서 FTA 소프트웨어에 존재하는 4개의 취약점에 대한 설명을 공개했습니다: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 및 CVE-2021-27104.
• 2월 17일 — 오픈소스 보고서에 따르면 Jones Day의 데이터가 CL0P LEAKS 랜섬웨어 웹사이트에 공개되었으며, 이는 Accellion FTA를 통해 침해당한 다른 조직들이 이 범죄자들로부터 유사한 데이터 유출 위험에 직면할 수 있음을 시사합니다.
• 2월 19일 — 미국 슈퍼마켓 체인 Kroger가 Accellion FTA 취약점 악용으로 인한 데이터 유출 사고를 공개했습니다.
• 2월 21일 - 기록된 미래 데이터는 CL0P LEAKS 웹사이트에 존스데이 데이터가 표시되는 것을 확인했습니다.
• 2월 22일 — FireEye는 Accellion FTA 침해 사건과 UNC2546이라는 그룹, 사이버 범죄 조직 FIN11, Clop 랜섬웨어 공격을 통해 유출된 데이터를 대상으로 한 갈취 사이트 운영자, 그리고 DEWMODE라는 웹 쉘 간의 연관성을 상세히 설명하는 블로그를 발표했습니다. 같은 날, Accellion은 성명을 통해 약 300개의 전체 FTA 고객 중 "100개 미만의 고객이 공격의 피해자가 되었다고 밝혔습니다."
• 2월 23일 — 캐나다 항공기 제조업체 봄바르디어와 호주 정부 기관인 뉴사우스웨일스 교통청(Transport for NSW) 이 Accellion FTA 취약점 악용으로 인한 데이터 유출 사고를 공개했습니다.
• 2월 24일 — Recorded Future는 CL0P Leaks 웹사이트에 Singtel과 Bombardier의 데이터 유출 사건을 기록했습니다. 파이브 아이즈(Five Eyes) 회원국들이 Accellion FTA 취약점을 악용한 지속적인 공격과 관련해 공동 경고를 발령했습니다. 자문서는 영향을 받은 조직이 호주, 뉴질랜드, 싱가포르, 영국(현재까지 데이터 유출을 공개한 조직이 없음) 및 미국에 위치해 있다고 밝히고 있습니다. ", , , ,". 공개된 보고서에 따르면, 미국 건강 보험 회사인 Centene가 Accellion FTA 취약점 악용으로 인한 데이터 유출 사건의 또 다른 피해자로 확인되었습니다.
• 3월 3일 — 보안 업체 Qualys는 취약한 Accellion FTA 서버를 통해 데이터 유출 사고를 겪었다고 발표했습니다. CL0P LEAKS는 Qualys에서 유출된 것으로 추정되는 파일의 스크린샷을 공개했습니다. 이 파일에는 구매 주문서, 청구서, 세금 관련 문서, 스캔 보고서 등 다양한 데이터가 포함되어 있습니다.
• 3월 6일 — Flagstar Bank는 Accellion FTA 보안 침해로 인해 영향을 받은 고객들에게 통지했습니다. Accellion은 2021년 1월 22일에 Flagstar Bank에 보안 문제를 처음 알렸습니다. Flagstar는 이제 FTA의 사용을 영구적으로 중단했습니다. Flagstar는 이에 따라 고객 데이터가 영향을 받았지만, 운영에는 영향을 미치지 않았다고 밝혔습니다. Flagstar 데이터가 3월 9일에 CL0P LEAKS에 공개되었습니다.

잠재적 악용의 범위에 대한 Accellion의 설명은 최초 공개 이후 변경되었습니다. 1월 12일에는 영향을 받는 고객이 50명 미만이라고 밝혔지만, 2월 22일까지는 전체 FTA 고객 300명 중 100명 미만으로 수정했습니다.

아래 그래프는 공공 부문이 Accellion FTA 취약점 악용으로 인해 가장 큰 영향을 받았음을 보여줍니다. 그러나 Accellion이 공개한 고객 산업별 분포를 바탕으로 볼 때, 의료, 금융, 에너지 분야가 공개된 보고서보다 더 심각한 영향을 받았을 것으로 추정됩니다.

파이브 아이즈 보고서와 저희의 조사에 따르면 호주, 캐나다, 뉴질랜드, 싱가포르, 영국, 미국은 지금까지의 피해자 분포를 볼 때 이번 일련의 공격으로 인해 가장 큰 영향을 받은 국가이며 앞으로도 계속 영향을 받을 것으로 예상하고 있습니다. 그러나 이러한 공격이 해당 국가를 좁게 타깃팅한 것이라고는 생각하지 않습니다. 또한 아래 지도에서 볼 수 있듯이 프랑스, 독일, 이스라엘, 이탈리아, 일본, 네덜란드 등 Accellion의 고객(따라서 악용의 잠재적 피해자)을 호스팅하는 다른 여러 국가가 있습니다.

완화 조치

Accellion 침해 사고와 DEWMODE 웹 셸과 관련하여 사용된 TTP가 널리 알려졌고 위협 공격자가 탐지를 회피하기 위해 이를 수정할 수 있지만, Insikt 그룹은 다음과 같은 완화 조치를 권고합니다:

• 이 캠페인을 통해 조직에 대한 타사의 위험을 모니터링하세요. 잠재적인 모니터링 매개변수에는 Accellion FTA를 사용하는 기업에 대해 공개적으로 보고된 사이버 공격, CL0P LEAKS 웹사이트에서 유출된 데이터에 대한 새로운 참조, UNC2546, FIN11 또는 Clop 랜섬웨어와 관련된 위협 그룹 또는 멀웨어가 포함될 수 있습니다.
• Accellion은 이번 침해와 관련된 모든 취약점에 대한 패치를 릴리스했으며, Accellion FTA 서버를 사용하는 조직은 FTA_9_12_416 버전으로 업데이트해야 합니다.
• 시스템이 Accellion FTA를 실행 중인 경우 패치를 적용할 수 있을 때까지 시스템을 인터넷에서 격리하는 것이 좋습니다.
• 악의적인 행위가 발견되면 CISA는 시스템의 “W1” 암호화 토큰 및 기타 모든 보안 토큰을 재설정할 것을 권장합니다.
• Accellion의 FTA 제품은 2021년 4월 30일에 지원 종료됩니다. FTA의 지원 종료 시점이 다가옴에 따라 해당 제품을 사용하는 고객들은 파일 공유 플랫폼의 대체 옵션을 검토하고 이전을 고려해야 합니다.

조직에서 취약한 버전의 Accellion FTA를 실행하고 있었다면 침해 여부를 확인하기 위해 사고 대응 조사를 수행해야 합니다. 다음 방법을 사용하여 로그 데이터에서 침해 징후를 검사할 수 있습니다.

• 조직은 다음을 포함하여 DEWMODE 웹 셸과 관련된 네트워크 요청을 모니터링해야 합니다:
• GET 요청을 /about.html?dwn=[암호화된 경로]&fn=[암호화된 파일명]으로 전송합니다.
• GET 요청을 / about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c로 보내세요.
• GET 요청을 /about.html?aid=1000으로 보내기
• CISA에 따르면 포트 443에서 194.88.104[.]24로 대량의 데이터가 유출되는 사고가 발생했습니다. 와 여러 TCP 세션의 IP 주소가 45.135.229[.]179인 다른 세션이 있습니다.
• 다음 파일 시스템 이벤트가 침해와 관련이 있었습니다:
• home/seos/courier 또는 /home/httpd/html에 "about.html"을 생성합니다.
• courier/oauth.api 파일에 씁니다, 여기서 포함된 데이터는 위의 평가 셸 설명과 일치합니다.
• 택배/문서_루트.html 또는 택배/sftp_계정_편집.php에 액세스합니다.
• 아파치 로그 디렉토리인 /var/opt/apache에 포함된 로그에 대한 몇 가지 수정 사항
• 다른 연구자들은 이 위협 활동이 Clop 랜섬웨어 뒤에 있는 위협 행위자와 연관되어 있다고 다양한 수준의 신뢰도로 연결지었지만, Insikt Group은 이를 확인하거나 반박할 충분한 정보를 보유하고 있지 않습니다.

전망

이 캠페인에 대한 보고 과정에서 Accellion의 진술이 변경된 것을 보면, 회사는 이러한 취약점과 관련된 침해의 범위를 아직 완전히 파악하지 못한 것으로 보입니다. 또한, Accellion의 고객사가 포함된 산업 및 국가 수를 고려할 때, 향후 Accellion FTA 악용에 대한 보고서에는 이전에 보고된 것보다 더 많은 기업, 산업 및 국가가 공개될 것으로 예상됩니다.

Accellion FTA와 같이 수명이 다한 제품은 앞으로 개발자 지원이 줄어들고 업데이트 감독도 줄어들 가능성이 높습니다. 기술 스택에 수명이 다했거나 다가오는 소프트웨어 또는 하드웨어가 있는 조직은 이러한 제품을 지속적으로 모니터링하고 이러한 도구를 최신 지원 도구로 마이그레이션하는 전략을 개발해야 합니다.