Understanding Accellion’s FTA Appliance Compromise, DEWMODE, and Its Supply Chain Impact

Anmerkung der Redaktion: The following post is an excerpt of a full report. To read the entire analysis, um den Bericht als PDF herunterzuladen.

This report provides a high-level overview of the Accellion File Transfer Appliance compromise and analysis of the DEWMODE webshell employed in the resulting breaches. Insikt Group used open source research (OSINT), PolySwarm, malware analysis, and the Recorded Future® Platform to execute this research. The target audience of this research includes day-to-day security practitioners as well executive decision-makers concerned about targeting of third-party systems and software.

Executive Summary

The compromise of the Accellion File Transfer Appliance (FTA) file sharing service impacting nearly 100 clients of the company was enabled primarily by 4 zero-day vulnerabilities in the tool that allowed threat actors to place the DEWMODE web shell on victim servers and exfiltrate files from those servers. As of February 25, 2021, 13 organizations in multiple sectors (finance, government, legal, education, telecommunications, healthcare, retail, and manufacturing) and multiple countries (Australia, New Zealand, Singapore, the UK, and the US) have suffered data breaches as a result of the Accellion FTA compromise. Victim data has appeared on the website CL0P LEAKS, establishing a link between the operators of this website and the attackers behind the Clop ransomware. There are likely to be reports of additional victims in the near future, and we suspect that these victims will be part of additional industries and countries beyond what have already been reported. Clients using Accellion FTA in their environment are advised to update the software to version FTA_9_12_416 or later and employ Insikt Group’s recommended mitigations to look for related malicious behavior on these servers.

Hintergrund

Am 10. Januar 2021 meldete die Reserve Bank of New Zealand einen Datenverstoß aufgrund der Kompromittierung eines Filesharing-Dienstes eines Drittanbieters, der kurz darauf als Accellion identifiziert wurde. Einen Tag später veröffentlichte die Bank eine Erklärung zu dem Datenleck, in der sie angab, dass durch das Datenleck möglicherweise geschäftlich und persönlich sensible Informationen offengelegt worden seien. Der Gouverneur der Reserve Bank, Adrian Orr, sagte, Accellion habe ihm mitgeteilt, dass die Reserve Bank nicht speziell ins Visier genommen worden sei und dass auch andere Benutzer von Accellion FTA betroffen seien.

Kurz darauf, am 12. Januar, gab Accellion in einer Pressemitteilung an, dass „weniger als 50 Kunden“ von einer „P0-Sicherheitslücke“ in seiner alten FTA-Software betroffen seien. Sie behaupteten weiter, dass sie erstmals Mitte Dezember 2020 von der Schwachstelle erfahren hätten und dass anschließend „innerhalb von 72 Stunden mit minimalen Auswirkungen“ ein Patch veröffentlicht worden sei.

Wichtige Urteile

• The Accellion FTA data breach was enabled by 4 zero-day vulnerabilities, with initial access gained through an SQL injection vulnerability, CVE-2021-27101.
• Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.

Bedrohungsanalyse

Within a few weeks after Accellion’s initial press release, multiple other companies disclosed data breaches that occurred due to exploitation of Accellion FTA. Additionally, data of victims of Accellion FTA compromise began to appear on the website CL0P LEAKS, establishing a link between the operators of this website and the attackers behind the Clop ransomware. Based on an updated number of potential victims disclosed by Accellion on February 22, and an expanding list of victims up to the time of writing (March 12), we expect additional similar reports to appear over the next month. The following timeline tracks new victim disclosures, security researcher analysis, and updates from Accellion itself.

• January 22 — Australian law firm Allens reports a data breach due to Accellion FTA compromise.
• January 25 — The Australian Securities and Investment Commission discloses that on January 15, it became aware of a data breach due to Accellion FTA compromise.
• February 2 — US law firm Goodwin Procter, the first non-Australian or New Zealand victim, discloses a data breach due to Accellion FTA compromise.
• February 4 — The Office of the US Washington State Auditor discloses a data breach due to Accellion FTA compromise.
• February 9 — Open sources report that the University of Colorado suffered a data breach due to Accellion FTA compromise.
• February 11 — Singaporean telecommunications company Singtel and Australian medical research institute QIMR Berghofer disclose data breaches due to Accellion FTA compromise. QIMR Berghofer claims it was asked by Accellion to implement an emergency patch on January 4; then on February 2, Accellion warned the institute that they might have been compromised.
• February 16 — US law firm Jones Day confirms a data breach due to Accellion FTA compromise. On its GitHub page, Accellion publishes descriptions of 4 vulnerabilities in its FTA software: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, and CVE-2021-27104.
• February 17 — Open sources report that Jones Day data has appeared on the CL0P LEAKS extortion website, introducing the possibility that other organizations compromised via Accellion FTA will face similar data exposure from these criminals.
• February 19 — US grocery chain Kroger discloses data breach due to Accellion FTA compromise.
• February 21 — Recorded Future data confirms the appearance of Jones Day data on the CL0P LEAKS website.
• February 22 — FireEye releases a blog detailing links between the Accellion FTA breaches and a group known as UNC2546, the cybercrime group FIN11, the operators of the extortion site for data stolen via Clop ransomware attacks, and a web shell called DEWMODE. On the same day, Accellion releases a statement that "out of approximately 300 total FTA clients, fewer than 100 were victims of the attack".
• February 23 — Canadian airplane manufacturer Bombardier and Australian government agency Transport for NSW disclose data breaches due to Accellion FTA compromise.
• February 24 — Recorded Future logs data exposures for Singtel and Bombardier on the CL0P Leaks website. Five Eyes members issue a joint advisory regarding ongoing attacks exploiting Accellion FTA vulnerabilities. The advisory states that impacted organizations are in "Australia, New Zealand, Singapore, the United Kingdom [from which no organizations have yet disclosed a data breach], and the United States". An open source report discloses that US health insurance company Centene is another victim of data breach due to Accellion FTA compromise.
• March 3 — The security firm Qualys announced that they had suffered a data breach from vulnerable Accellion FTA servers. CL0P LEAKS published screenshots of files allegedly stolen from Qualys containing data such as purchase orders, invoices, tax documents, and scan reports.
• March 6 — Flagstar Bank notified customers that they were impacted by the Accellion FTA compromise, who originally informed Flagstar of a security issue on January 22, 2021. Flagstar has now permanently discontinued the use of FTA. Flagstar states that as a result, customer data was impacted, although operations were not. Flagstar data was published on CL0P LEAKS on March 9.

Accellion’s commentary on the scope of potential exploitation has changed since their original disclosure. On January 12, the company stated that fewer than 50 customers were impacted; by February 22, the company had amended this to fewer than 100 out of 300 total FTA clients.

Die folgende Grafik zeigt, dass der öffentliche Sektor am stärksten von der Ausnutzung der Accellion FTA-Sicherheitslücke betroffen war. Allerdings vermuten wir aufgrund der von Accellion veröffentlichten Verteilung der Kundenbranchen, dass die Sektoren Gesundheitswesen, Finanzen und Energie stärker betroffen sind als öffentlich berichtet.

Figure 1: Distribution of industries for publicly disclosed victims of Accellion FTA vulnerability exploitation (light blue) versus distribution of industries for high-profile customers as listed on Accellion’s website (dark blue) (Source: Recorded Future)

Wir gehen davon aus, dass die Länder, die laut dem Five-Eyes-Bericht und unseren Untersuchungen Opfer des Accellion-FTA-Kompromisses sind (Australien, Kanada, Neuseeland, Singapur, Großbritannien und die USA), aufgrund der bisherigen Verteilung der Opfer am stärksten von dieser Angriffsserie betroffen sind und es auch bleiben werden. Wir glauben jedoch nicht, dass diese Angriffe gezielt auf diese Länder abzielen. Darüber hinaus gibt es, wie die Karte unten zeigt, mehrere andere Länder, in denen Accellion-Kunden (und damit potenzielle Opfer von Ausbeutung) ansässig sind, darunter Frankreich, Deutschland, Israel, Italien, Japan und die Niederlande.

Figure 2: Countries impacted by exploitation of Accellion FTA. The countries in red (Australia, Canada, New Zealand, Singapore, the UK, and the US) are headquarters for confirmed victims of Accellion FTA exploitation. The countries in orange (France, Germany, Israel, Italy, Japan, and the Netherlands) are headquarters for other customers of Accellion as publicized on their website. (Source: Recorded Future)

Gegenmaßnahmen

Die beim Accellion-Hack und in Verbindung mit der DEWMODE-Web-Shell verwendeten TTPs sind mittlerweile weithin bekannt und Bedrohungsakteure können sie modifizieren, um einer Erkennung zu entgehen. Die Insikt Group empfiehlt jedoch die folgenden Gegenmaßnahmen:

• Überwachen Sie das durch diese Kampagne entstehende Drittrisiko für Ihr Unternehmen. Zu den potenziellen Überwachungsparametern können öffentlich gemeldete Cyberangriffe auf Unternehmen gehören, die Accellion FTA verwenden, neue Hinweise auf durchgesickerte Daten auf der CL0P LEAKS-Website sowie Bedrohungsgruppen oder Malware, die mit der Ransomware UNC2546, FIN11 oder Clop in Verbindung stehen.

• Accellion hat Patches für alle mit dieser Sicherheitsverletzung verbundenen Schwachstellen veröffentlicht und Organisationen, die Accellion FTA-Server verwenden, sollten auf Version FTA_9_12_416 aktualisieren.

• Wenn auf einem System Accellion FTA ausgeführt wird, sollten Sie das System vom Internet isolieren, bis Patches angewendet werden können.

• If malicious behavior is identified, CISA recommends resetting the “W1” encryption token and any other security tokens on the system.

• Accellion’s FTA product will be reaching end of life on April 30, 2021. Clients using the product should consider alternative options for file-sharing platforms to migrate to as the EOL approaches for FTA.

Wenn in Ihrer Organisation eine anfällige Version von Accellion FTA verwendet wurde, sollte eine Vorfallsreaktionsuntersuchung durchgeführt werden, um festzustellen, ob ein Verstoß vorliegt. Mit den folgenden Methoden können Protokolldaten auf Hinweise auf eine Kompromittierung untersucht werden.

• Organisationen sollten auf Netzwerkanforderungen im Zusammenhang mit der DEWMODE-Web-Shell achten, darunter:

• GET-Anfragen an /about.html?dwn=[verschlüsselter Pfad]&fn=[verschlüsselter Dateiname]

• GET-Anfragen an /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c

• GET-Anfragen an /about.html?aid=1000

• According to CISA, there was an incident in which a large amount of data was exfiltrated on port 443 to 194.88.104[.]24 and another in which several TCP sessions had IP address 45.135.229[.]179.

• Mit dem Verstoß waren die folgenden Dateisystem-Ereignisse verbunden:

• Creation of “about.html” in /home/seos/courier or /home/httpd/html

• Schreibt in die Datei /courier/oauth.api, wobei die enthaltenen Daten mit der Beschreibung der oben stehenden Eval-Shell übereinstimmen

• Zugriffe auf /courier/document_root.html oder /courier/sftp_account_edit.php

• Mehrere Änderungen an Protokollen im Apache-Protokollverzeichnis /var/opt/apache

• Während andere Forscher diese Bedrohungsaktivität mit unterschiedlichem Grad an Sicherheit mit den Bedrohungsakteuren hinter der Clop-Ransomware in Verbindung gebracht haben, verfügt die Insikt Group nicht über genügend Informationen, um dies zu bestätigen oder zu widerlegen.

Ausblick

Aufgrund der Änderungen in den Aussagen von Accellion im Laufe der Berichterstattung zu dieser Kampagne ist es möglich, dass sich das Unternehmen des Ausmaßes der Gefährdung durch diese Sicherheitslücken noch immer nicht völlig bewusst ist. Darüber hinaus gehen wir aufgrund der Anzahl der Branchen und Länder, zu denen Accellion-Kunden zählen, davon aus, dass künftige Berichte über die Nutzung von Accellion FTA mehr Unternehmen, Branchen und Länder offenlegen werden als bisher.

Wenn sich Produkte wie Accellion FTA dem Ende ihres Lebenszyklus nähern, ist es wahrscheinlich, dass sie künftig weniger Entwicklerunterstützung und weniger Update-Überwachung haben. Organisationen, deren Software- oder Hardware das Ende ihrer Lebensdauer erreicht hat oder sich diesem nähert, sollten diese Produkte weiterhin überwachen und Migrationsstrategien für diese Tools auf aktuellere, unterstützte Tools entwickeln.

Anmerkung der Redaktion: This post was an excerpt of a full report. To read the entire analysis, um den Bericht als PDF herunterzuladen.