火眼：利用FTA 服务器0day攻击全球百家企业的是 FIN11

在攻击中，黑客利用4个安全缺陷攻击 FTA 服务器，安装了一个名为“DEWMODE” 的 web shell，之后用于下载存储在受害者 FTA 设备上的文件。Accellion 公司在新闻稿中指出，”在约300个 FTA 客户端中，受害者不到100人，而其中不到25个人遭受严重的数据盗取事件。“

但火眼公司表示，在这25个客户中，某些客户的 FTA 文件分享服务器遭攻击后收到了勒索留言。攻击者发送邮件要求支付比特币，或者在由 Clop 勒索团伙运营的“泄露”网站上公开受害者数据。

火眼公司在协助调查后指出，这些攻击活动和两个组织（UNC2546 和 UNC2582）有关。这两个组织的基础设施和 FIN11 组织都存在重叠之处。FIN11 是一个庞大的网络犯罪团伙，由火眼公司于去年发现，它参与了各种各样的网络犯罪活动。

火眼公司表示，尽管 FIN11 的操纵人员目前正在 Clop 勒索软件泄露站点上公布 Accellion FTA 客户信息，但这些企业的内部网络并未被加密，而是沦为勒索攻击受害者。

实际上 Accellion FTA 企业数据出现在 Clop 勒索站点上最初是由安全播客 Risky Business 发现的，甚至早于火眼公司的报告。目前出现在 Clop 站点上的公司包括：

• 地理数据企业 Fugro

• 技术公司 Danaher

• 新加坡最大的电信公司 Singtel

• 律所 Jones Day

其它因 FTA 服务器0day遭受攻击但数据尚未出现在 Clop 站点上的企业包括：

• 新西兰储备银行

• 澳大利亚证券和投资委员会 (ASIC)

• 律所Allens

• 华盛顿州审计师办公室

• QIMR Berghofer 医学研究所

• 美国零售商店连锁店 Kroger

虽然 Accellion 公司最开始回应速度比较缓慢，但现在已经开始全面行动。

攻击发生后，该公司推出多轮补丁，解决在攻击中遭利用的漏洞，同时表示将在2021年4月30日放弃老旧的 FTA 服务器软件。目前该公司正在积极督促客户更新至更新版本的 Kiteworks 产品，弃用老旧的 FTA 服务器。FTA 服务器是一款在2000年时代开发的文件共享工具，可使企业以简单的方式和员工以及客户共享文件，当时Dropbox 或 Google Drive 等产品尚未大规模流行。

从上传到这些服务器（这些服务器开发时通常很少考虑安全功能）中的数据量来看，FTA系统现已成为攻击者的首要目标。

Accellion 公司希望企业能够了解目前正在面临的风险并更新至新的产品线，并避免使商业机密、知识产权或个人数据被泄露到网上。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。