查看原文
其他

火眼:利用FTA 服务器0day攻击全球百家企业的是 FIN11

Catalin Cimpanu 代码卫士 2022-06-25

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


火眼公司指出,2020年12月利用Accellion FTA 服务器 0day 攻击全球100家左右企业的黑客组织是 FIN11。


在攻击中,黑客利用4个安全缺陷攻击 FTA 服务器,安装了一个名为“DEWMODE” 的 web shell,之后用于下载存储在受害者 FTA 设备上的文件。Accellion 公司在新闻稿中指出,”在约300个 FTA 客户端中,受害者不到100人,而其中不到25个人遭受严重的数据盗取事件。“

但火眼公司表示,在这25个客户中,某些客户的 FTA 文件分享服务器遭攻击后收到了勒索留言。攻击者发送邮件要求支付比特币,或者在由 Clop 勒索团伙运营的“泄露”网站上公开受害者数据。

火眼公司在协助调查后指出,这些攻击活动和两个组织(UNC2546 和 UNC2582)有关。这两个组织的基础设施和 FIN11 组织都存在重叠之处。FIN11 是一个庞大的网络犯罪团伙,由火眼公司于去年发现,它参与了各种各样的网络犯罪活动。

火眼公司表示,尽管 FIN11 的操纵人员目前正在 Clop 勒索软件泄露站点上公布 Accellion FTA 客户信息,但这些企业的内部网络并未被加密,而是沦为勒索攻击受害者。

实际上 Accellion FTA 企业数据出现在 Clop 勒索站点上最初是由安全播客 Risky Business 发现的,甚至早于火眼公司的报告。目前出现在 Clop 站点上的公司包括:

  • 地理数据企业 Fugro

  • 技术公司 Danaher

  • 新加坡最大的电信公司 Singtel

  • 律所 Jones Day

其它因 FTA 服务器0day遭受攻击但数据尚未出现在 Clop 站点上的企业包括:

  • 新西兰储备银行

  • 澳大利亚证券和投资委员会 (ASIC)

  • 律所Allens

  • 华盛顿州审计师办公室

  • QIMR Berghofer 医学研究所

  • 美国零售商店连锁店 Kroger

将摒弃老旧的 FTA 服务器


虽然 Accellion 公司最开始回应速度比较缓慢,但现在已经开始全面行动。

攻击发生后,该公司推出多轮补丁,解决在攻击中遭利用的漏洞,同时表示将在2021年4月30日放弃老旧的 FTA 服务器软件。目前该公司正在积极督促客户更新至更新版本的 Kiteworks 产品,弃用老旧的 FTA 服务器。FTA 服务器是一款在2000年时代开发的文件共享工具,可使企业以简单的方式和员工以及客户共享文件,当时Dropbox 或 Google Drive 等产品尚未大规模流行。

从上传到这些服务器(这些服务器开发时通常很少考虑安全功能)中的数据量来看,FTA系统现已成为攻击者的首要目标。

Accellion 公司希望企业能够了解目前正在面临的风险并更新至新的产品线,并避免使商业机密、知识产权或个人数据被泄露到网上。





推荐阅读
Windows 和 Linux 服务器遭新型僵尸网络 WatchDog 攻击近两年
HPE 发布严重的 RCE 0day 漏洞,影响服务器管理软件 SIM,无补丁
黑客利用未修复的 Atlassian 服务器攻击电信运营商和 ISP



原文链接

https://www.zdnet.com/article/fireeye-links-0-day-attacks-on-fta-servers-extortion-campaign-to-fin11-group/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存