This report provides a high-level overview of the Accellion File Transfer Appliance compromise and analysis of the DEWMODE webshell employed in the resulting breaches. Insikt Group used open source research (OSINT), PolySwarm, malware analysis, and the Recorded Future® Platform to execute this research. The target audience of this research includes day-to-day security practitioners as well executive decision-makers concerned about targeting of third-party systems and software.

Executive Summary

The compromise of the Accellion File Transfer Appliance (FTA) file sharing service impacting nearly 100 clients of the company was enabled primarily by 4 zero-day vulnerabilities in the tool that allowed threat actors to place the DEWMODE web shell on victim servers and exfiltrate files from those servers. As of February 25, 2021, 13 organizations in multiple sectors (finance, government, legal, education, telecommunications, healthcare, retail, and manufacturing) and multiple countries (Australia, New Zealand, Singapore, the UK, and the US) have suffered data breaches as a result of the Accellion FTA compromise. Victim data has appeared on the website CL0P LEAKS, establishing a link between the operators of this website and the attackers behind the Clop ransomware. There are likely to be reports of additional victims in the near future, and we suspect that these victims will be part of additional industries and countries beyond what have already been reported. Clients using Accellion FTA in their environment are advised to update the software to version FTA_9_12_416 or later and employ Insikt Group’s recommended mitigations to look for related malicious behavior on these servers.

Background

Le 10 janvier 2021, la Banque de réserve de Nouvelle-Zélande a signalé une violation de données due à la compromission d'un service tiers de partage de fichiers, rapidement identifié comme étant Accellion. La banque a publié un communiqué au sujet de cette violation le lendemain, dans lequel elle indiquait que des informations commerciales et personnelles sensibles avaient pu être compromises. Le gouverneur de la Banque de réserve, Adrian Orr, a déclaré avoir été informé par Accellion que la Banque de réserve n'était pas spécifiquement visée et que d'autres utilisateurs d'Accellion FTA avaient également été compromis.

Peu après, le 12 janvier, Accellion a déclaré dans un communiqué de presse que "moins de 50 clients" avaient été affectés par une vulnérabilité P0 "" dans son ancien logiciel FTA. Ils ont également déclaré avoir pris connaissance de cette vulnérabilité pour la première fois à la mi-décembre 2020, et qu'un correctif avait ensuite été publié "en 72 heures avec un impact minimal".

Key Judgements

• The Accellion FTA data breach was enabled by 4 zero-day vulnerabilities, with initial access gained through an SQL injection vulnerability, CVE-2021-27101.
• Based on the changes in statements from Accellion over the course of reporting on this campaign, the company may still not be fully aware of the extent of compromise associated with these vulnerabilities. Furthermore, based on the number of industries and countries that include clients of Accellion, we suspect that future reports of Accellion FTA exploitation will disclose more companies, industries, and countries than have previously been reported.

Threat Analysis

Within a few weeks after Accellion’s initial press release, multiple other companies disclosed data breaches that occurred due to exploitation of Accellion FTA. Additionally, data of victims of Accellion FTA compromise began to appear on the website CL0P LEAKS, establishing a link between the operators of this website and the attackers behind the Clop ransomware. Based on an updated number of potential victims disclosed by Accellion on February 22, and an expanding list of victims up to the time of writing (March 12), we expect additional similar reports to appear over the next month. The following timeline tracks new victim disclosures, security researcher analysis, and updates from Accellion itself.

• 22 janvier — Le cabinet d'avocats australien Allens signale une violation de données due à la compromission du FTA d'Accellion.
• 25 janvier — La Commission australienne des valeurs mobilières et des investissements (Australian Securities and Investment Commission ) révèle que le 15 janvier, elle a pris connaissance d'une violation de données due à la compromission du protocole FTA d'Accellion.
• 2 février — Le cabinet d'avocats américain Goodwin Procter, première victime non australienne ou néo-zélandaise, révèle une violation de données due à la compromission du FTA d'Accellion.
• 4 février — Le bureau du vérificateur général de l'État de Washington aux États-Unis révèle une violation de données due à la compromission du protocole FTA d'Accellion.
• 9 février — Des sources ouvertes indiquent que l'université du Colorado a subi une violation de données en raison d'une compromission d'Accellion FTA.
• 11 février — L'entreprise de télécommunications singapourienne Singtel et l'institut de recherche médicale australien QIMR Berghofer ont révélé des violations de données dues à la compromission du FTA d'Accellion. QIMR Berghofer affirme avoir été sollicité par Accellion le 4 janvier pour mettre en œuvre un correctif d'urgence. Le 2 février, Accellion a averti l'institut qu'il avait peut-être été compromis.
• 16 février — Le cabinet d'avocats américain Jones Day confirme une violation de données due à la compromission du FTA d'Accellion. Sur sa page GitHub, Accellion publie des descriptions de quatre vulnérabilités dans son logiciel FTA : CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 et CVE-2021-27104.
• 17 février — Des sources ouvertes indiquent que des données de Jones Day ont été publiées sur le site web de chantage CL0P LEAKS, ce qui laisse supposer que d'autres organisations compromises via Accellion FTA pourraient être confrontées à une exposition similaire de leurs données par ces criminels.
• 19 février — La chaîne de supermarchés américaine Kroger révèle une violation de données due à une faille dans Accellion FTA.
• February 21 — Recorded Future data confirms the appearance of Jones Day data on the CL0P LEAKS website.
• 22 février — FireEye publie un article de blog détaillant les liens entre les violations de la FTA d'Accellion et un groupe connu sous le nom d'UNC2546, le groupe cybercriminel FIN11, les opérateurs du site d'extorsion de données volées via les attaques du ransomware Clop, et un shell web appelé DEWMODE. Le même jour, Accellion publie une déclaration indiquant que "sur environ 300 clients FTA, moins de 100 ont été victimes de l'attaque".
• 23 février — Le constructeur aéronautique canadien Bombardier et l'agence gouvernementale australienne Transport for NSW révèlent des violations de données dues à la compromission du FTA d'Accellion.
• 24 février — Recorded Future enregistre des fuites de données concernant Singtel et Bombardier sur le site web CL0P Leaks. Les membres du groupe Five Eyes publient un avis conjoint concernant les attaques en cours exploitant les vulnérabilités du protocole FTA d'Accellion. L'avis indique que les organisations concernées sont situées en Australie ( "), en Nouvelle-Zélande, à Singapour, au Royaume-Uni (aucune organisation n'a encore signalé de violation de données) et aux États-Unis ("). Un rapport open source révèle que la compagnie d'assurance maladie américaine Centene est une nouvelle victime d'une violation de données due à la compromission du protocole FTA d'Accellion.
• 3 mars — La société de sécurité Qualys a annoncé avoir subi une violation de données provenant de serveurs FTA Accellion vulnérables. CL0P LEAKS a publié des captures d'écran de fichiers prétendument volés à Qualys contenant des données telles que des bons de commande, des factures, des documents fiscaux et des rapports d'analyse.
• 6 mars — Flagstar Bank a informé ses clients qu'ils étaient concernés par la violation de la sécurité d'Accellion FTA, qui avait initialement signalé un problème de sécurité à Flagstar le 22 janvier 2021. Flagstar a définitivement cessé d'utiliser le FTA. Flagstar indique que, par conséquent, les données des clients ont été affectées, mais que les opérations n'ont pas été perturbées. Les données relatives à Flagstar ont été publiées sur CL0P LEAKS le 9 mars.

Accellion’s commentary on the scope of potential exploitation has changed since their original disclosure. On January 12, the company stated that fewer than 50 customers were impacted; by February 22, the company had amended this to fewer than 100 out of 300 total FTA clients.

Le graphique ci-dessous montre que le secteur public a été le plus touché par l'exploitation de la vulnérabilité FTA d'Accellion. Toutefois, sur la base de la répartition des secteurs d'activité des clients publiée par Accellion, nous soupçonnons que les secteurs de la santé, de la finance et de l'énergie ont été plus fortement touchés que ce qui a été annoncé publiquement.

We anticipate that the countries identified by the Five Eyes report and our research as hosting victims of Accellion FTA compromise (Australia, Canada, New Zealand, Singapore, the UK, and the US) are and will continue to be the most impacted by this series of attacks based on the distribution of victims so far. However, we do not believe that these attacks are based on narrow targeting of these countries. Additionally, as the map below shows, there are several other countries that host customers of Accellion (and therefore potential victims of exploitation), including France, Germany, Israel, Italy, Japan, and the Netherlands.

Mitigations

While TTPs used in the Accellion breach and in association with the DEWMODE web shell have become widely publicized, and threat actors may modify them to evade detection, Insikt Group advises the following mitigations:

• Monitor third-party risk to your organization from this campaign. Potential monitoring parameters can include publicly reported cyberattacks against companies that use Accellion FTA, new references to leaked data on the CL0P LEAKS website, and threat groups or malware associated with UNC2546, FIN11, or Clop ransomware.
• Accellion has released patches for all of the vulnerabilities associated with this breach, and organizations using Accellion FTA servers should update to version FTA_9_12_416.
• If a system is running Accellion FTA, consider isolating the system from the internet until patches can be applied.
• Si un comportement malveillant est détecté, la CISA recommande de réinitialiser le jeton de chiffrement « W1 » et tous les autres jetons de sécurité du système.
• Le produit FTA d'Accellion arrivera en fin de vie le 30 avril 2021. Les clients utilisant ce produit sont invités à envisager d'autres options de plateformes de partage de fichiers vers lesquelles migrer à l'approche de la fin de vie de FTA.

If your organization was running a vulnerable version of Accellion FTA, an incident response investigation should be undertaken to determine whether there was a breach. The following methods may be used to examine log data for indications of a compromise.

• Organizations should monitor for network requests associated with the DEWMODE web shell, including:
• GET requests to /about.html?dwn=[encrypted path]&fn=[encrypted filename]
• GET requests to /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c
• GET requests to /about.html?aid=1000
• According to CISA, there was an incident in which a large amount of data was exfiltrated on port 443 to 194.88.104[.]24 and another in which several TCP sessions had IP address 45.135.229[.]179.
• The following file system events were associated with the breach:
• Creation of “about.html” in /home/seos/courier or /home/httpd/html
• Writes to the file /courier/oauth.api, where data contained matches the description of the eval shell, above
• Accesses to /courier/document_root.html, or /courier/sftp_account_edit.php
• Several modifications to logs contained in the Apache log directory, /var/opt/apache
• Alors que d'autres chercheurs ont établi un lien plus ou moins certain entre cette activité malveillante et les auteurs du ransomware Clop, Insikt Group ne dispose pas d'informations suffisantes pour confirmer ou infirmer cette hypothèse.

Outlook

Based on the changes in statements from Accellion over the course of reporting on this campaign, the company may still not be fully aware of the extent of compromise associated with these vulnerabilities. Furthermore, based on the number of industries and countries that include clients of Accellion, we suspect that future reports of Accellion FTA exploitation will disclose more companies, industries, and countries than have previously been reported.

As products approach end of life, such as Accellion FTA, they are likely to have less developer support, and update oversight moving forward. Organizations with software or hardware in their technology stack that has reached end of life or is approaching it should continue to monitor these products and develop migration strategies for these tools to more current, supported tools.