黑客在最近的数据盗窃和勒索攻击中利用Accellion Zero Days进行攻击

网络安全研究人员周一将过去两个月针对Accellion File Transfer Appliance（FTA）服务器的一系列攻击与一个名为UNC2546.

这些攻击始于2020年12月中旬，涉及利用传统FTA软件中的多个零日漏洞，在受害者网络上安装一个名为DEWMODE的新网络外壳，并过滤敏感数据，然后将其发布在CLOP勒索软件团伙运营的一个数据泄露网站上。

但在美国、新加坡、加拿大和荷兰最近发生的袭击组织的任何事件中，实际上都没有部署勒索软件，行为人反而通过勒索电子邮件威胁受害者支付比特币赎金。

据Risk Business称，一些数据已在网站上列出的公司包括新加坡电信提供商SingTel、美国航运局、律师事务所Jones Day、总部位于荷兰的Fugro和生命科学公司Danaher。

在一系列攻击之后，Accellion修补了四个FTA漏洞，已知这些漏洞被威胁行为人利用，此外还加入了新的监控和警报功能，以标记任何可疑行为。缺陷如下-

• CVE-2021-27101-通过特制的主机头进行SQL注入
• CVE-2021-27102-通过本地web服务调用执行操作系统命令
• CVE-2021-27103-通过精心编制的POST请求进行SSRF
• CVE-2021-27104-通过精心编制的POST请求执行OS命令

FireEye的Mandiant威胁情报团队领导着事件应对工作，尽管这两组恶意活动与之前由一个名为FIN11的出于财务动机的黑客组织实施的攻击之间存在“令人信服的”重叠，但该公司仍在跟踪另一个名为UNC2582的威胁集群下的后续勒索计划。

FireEye说：“许多受UNC2546攻击的组织之前都是FIN11的目标。”。“2021年1月观察到的一些UNC2585敲诈邮件是由FIN1在8月至2020年12月在多个钓鱼活动中使用的IP地址和/或电子邮件帐户发送的。”

安装后，DEWMODE web shell被用来从受损的FTA实例下载文件，导致受害者在几周后收到声称来自“CLOP勒索软件团队”的勒索电子邮件。

研究人员详细介绍说，如果没有及时回复，将导致向受害者组织中更广泛的接收者群体以及其合作伙伴发送更多包含被盗数据链接的电子邮件。

除了敦促其FTA客户迁移到kiteworks之外，Accellion还表示，在总共300名FTA客户中，只有不到100名是攻击的受害者，而且似乎只有不到25名客户遭受了“重大”数据盗窃。

此前，食品连锁店克罗格上周披露，由于Accellion事件，一些客户的人力资源数据、药房记录和理财记录可能已被泄露。

今天早些时候，新南威尔士州交通局（Transport for New South Wales，TfNSW）成为最新一家确认其受到全球Accellion数据泄露影响的实体。

“Accellion系统被世界各地的组织广泛用于共享和存储文件，包括新南威尔士州的交通部门，”该澳大利亚机构说。“在对Accellion服务器的攻击被中断之前，新南威尔士州的一些信息传输被中断。”