AccellionのFTAアプライアンスの妥協、DEWMODE、およびそのサプライチェーンへの影響を理解する

投稿: 2021年3月12日

作成者 : Insikt Group

Understanding Accellion’s FTA Appliance Compromise, DEWMODE, and Its Supply Chain Impact

編集者注: The following post is an excerpt of a full report. To read the entire analysis, をクリックして、レポートをPDFとしてダウンロードします。

このレポートでは、Accellion File Transfer Applianceの侵害の概要と、結果として発生した侵害で使用されたDEWMODE Webシェルの分析について説明します。 Insikt Group は、この調査を実施するために、オープン・ソース研究 (OSINT)、PolySwarm、マルウェア分析、および Recorded Future® Platform を使用しました。この調査の対象読者には、日常的なセキュリティ実務家だけでなく、サードパーティのシステムやソフトウェアの標的化に関心のある経営幹部の意思決定者も含まれます。

Executive Summary

The compromise of the Accellion File Transfer Appliance (FTA) file sharing service impacting nearly 100 clients of the company was enabled primarily by 4 zero-day vulnerabilities in the tool that allowed threat actors to place the DEWMODE web shell on victim servers and exfiltrate files from those servers. As of February 25, 2021, 13 organizations in multiple sectors (finance, government, legal, education, telecommunications, healthcare, retail, and manufacturing) and multiple countries (Australia, New Zealand, Singapore, the UK, and the US) have suffered data breaches as a result of the Accellion FTA compromise. Victim data has appeared on the website CL0P LEAKS, establishing a link between the operators of this website and the attackers behind the Clop ransomware. There are likely to be reports of additional victims in the near future, and we suspect that these victims will be part of additional industries and countries beyond what have already been reported. Clients using Accellion FTA in their environment are advised to update the software to version FTA_9_12_416 or later and employ Insikt Group’s recommended mitigations to look for related malicious behavior on these servers.

背景

2021年1月10日、ニュージーランド準備銀行は、サードパーティのファイル共有サービスが侵害されたことによるデータ侵害を報告しました。その直後にAccellionと特定されました。銀行は翌日、侵害に関する声明を発表し、その中で、侵害によって商業的および個人的な機密情報が流出した可能性があると述べています。準備銀行のエイドリアン・オア総裁は、準備銀行が特に標的にされておらず、Accellion FTAの他のユーザーも侵害されているとAccellionから助言されたと述べました。

その直後の1月12日、Accellionはプレスリリースで、レガシーFTAソフトウェアの「P0脆弱性」の影響を受けたのは「50人未満の顧客」であると述べました。さらに、2020年12月中旬にこの脆弱性を初めて知ったと主張し、その後、「影響を最小限に抑えて72時間で」パッチがリリースされたと主張しています。

主な判断

The Accellion FTA data breach was enabled by 4 zero-day vulnerabilities, with initial access gained through an SQL injection vulnerability, CVE-2021-27101.
本キャンペーンに関する報告の過程でAccellionが発表した記述の変更を踏まえると、当社はこれらの脆弱性に関連する侵害の程度についてまだ十分に認識していない可能性があります。さらに、Accellionのクライアントを含む業界や国の数から、今後、Accellion FTAの悪用に関する報告では、これまでに報告されたよりも多くの企業、業界、国が明らかになると思われます。

脅威分析

Accellionの最初のプレスリリースから数週間以内に、他の複数の企業がAccellion FTAの悪用により発生したデータ侵害を公開しました。さらに、Accellion FTA侵害の被害者のデータがWebサイトCL0P LEAKSに表示され始め、このWebサイトの運営者とClopランサムウェアの背後にいる攻撃者との間にリンクが確立されました。 Accellionが2月22日に発表した被害者候補の数と、本稿執筆時点(3月12日)までに被害者のリストが拡大していることから、来月にかけて同様の報告がさらに増えると予想されます。次のタイムラインは、新たな被害者の開示、セキュリティ研究者の分析、Accellion 自体からの更新を追跡しています。

1月22日 — オーストラリアの法律事務所 Allens が、Accellion FTAの侵害によるデータ侵害を報告しました。
1月25 日 — オーストラリア証券投資委員会 (SEC)は、1月15日、Accellion FTAの侵害によるデータ侵害に気づいたと発表しました。
2月2日 — 米国法律事務所のグッドウィン・プロクター(Goodwin Procter)は、オーストラリアまたはニュージーランド人以外で初めての被害者であり、Accellion FTAの侵害によるデータ侵害を開示しました。
2月4 日 — 米国ワシントン州監査局は、Accellion FTAの侵害によるデータ侵害を開示しました。
2月9日 — オープンソースは、コロラド大学がAccellion FTAの侵害によりデータ侵害を受けたと報告しています。
2月11 日 — シンガポールの通信会社Singtelとオーストラリアの医学研究機関QIMR Berghoferは、Accellion FTAの侵害によるデータ侵害を開示しました。 QIMR Berghofer は、Accellionから1月4日に緊急パッチを実装するように依頼されたと主張しています。そして2月2日、アクセリオンは研究所に彼らが危険にさらされたかもしれないと警告した。
February 16 — US law firm Jones Day confirms a data breach due to Accellion FTA compromise. On its GitHub page, Accellion publishes descriptions of 4 vulnerabilities in its FTA software: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, and CVE-2021-27104.
2月17日 — オープンソースの報告によると、ジョーンズ・デイのデータがCL0P LEAKS恐喝ウェブサイトに掲載され、Accellion FTAを介して侵害された他の組織がこれらの犯罪者から同様のデータ漏洩に直面する可能性が紹介されています。
2月19日 — 米国の食料品チェーン Kroger が、Accellion FTAの侵害によるデータ侵害を開示。
2月21日 — Recorded Futureデータにより、CL0P LEAKSのウェブサイトにジョーンズ・デイのデータが掲載されたことが確認されました。
2月22日 — FireEyeは、Accellion FTAの侵害と、UNC2546として知られるグループ、サイバー犯罪グループFIN11、Clopランサムウェア攻撃によって盗まれたデータの恐喝サイトの運営者、およびDEWMODEと呼ばれるWebシェルとの関連を詳述したブログを公開しました。同日、Accellionは「FTAの顧客約300社のうち、攻撃の被害に遭ったのは100人未満だった」という声明を発表した。
2月23日 — カナダの航空機メーカーであるボンバルディアとオーストラリアの政府機関であるニューサウスウェールズ州運輸省は、アクセリオンのFTA侵害によるデータ侵害を開示しました。
2月24日 — Recorded Futureは、CL0P LeaksのウェブサイトでSingtelとBombardierのデータエクスポージャーを記録しました。ファイブアイズのメンバーは、Accellion FTAの脆弱性を悪用した進行中の攻撃に関する共同勧告を発行しています。アドバイザリには、影響を受ける組織は「オーストラリア、ニュージーランド、シンガポール、英国[データ侵害をまだ開示していない組織]、および米国」にあると記載されています。オープンソースのレポートによると、米国の医療保険会社 Centene も、Accellion FTAの侵害によるデータ侵害の被害者であることが明らかになりました。
3月3 日 — セキュリティ会社のQualysは、脆弱なAccellion FTAサーバーからデータ侵害を受けたと発表しました。 CL0P LEAKSは、Qualysから盗まれたとされるファイルのスクリーンショットを公開し、購入注文書、請求書、税務書類、スキャンレポートなどのデータが含まれています。
3月6日 — Flagstar Bankは、2021年1月22日にFlagstarにセキュリティ問題を最初に通知したAccellion FTA侵害の影響を受けたことを顧客に通知しました。 Flagstarは現在、FTAの使用を永久に中止しています。 Flagstarは、その結果、運用は影響を受けなかったものの、顧客データは影響を受けたと述べています。 Flagstarのデータは、3月9日にCL0P LEAKSで公開されました。

潜在的な搾取の範囲に関するAccellionの解説は、最初の開示から変更されています。 1月12日、同社は影響を受けた顧客は50人未満であると述べました。2月22日までに、同社はこれをFTAクライアントの合計300社のうち100社未満に修正しました。

下のグラフは、Accellion FTA の脆弱性の悪用によって最も影響を受けたのは公共部門であることを示しています。しかし、Accellionが公表している顧客産業の分布から、ヘルスケア、金融、エネルギーの各セクターは、公表されている以上に大きな影響を受けているのではないかと考えています。

Figure 1: Distribution of industries for publicly disclosed victims of Accellion FTA vulnerability exploitation (light blue) versus distribution of industries for high-profile customers as listed on Accellion’s website (dark blue) (Source: Recorded Future)

ファイブアイズのレポートと私たちの調査で、Accellion FTA侵害の被害者を受け入れている国(オーストラリア、カナダ、ニュージーランド、シンガポール、英国、米国)は、これまでの被害者の分布に基づいて、この一連の攻撃の影響を最も受け続けると予想しています。しかし、これらの攻撃がこれらの国を限定的に標的にしているとは考えていません。さらに、下の地図が示すように、Accellion の顧客を受け入れている国 (したがって、搾取の潜在的な被害者) は、フランス、ドイツ、イスラエル、イタリア、日本、オランダなど、他にもいくつかあります。

Figure 2: Countries impacted by exploitation of Accellion FTA. The countries in red (Australia, Canada, New Zealand, Singapore, the UK, and the US) are headquarters for confirmed victims of Accellion FTA exploitation. The countries in orange (France, Germany, Israel, Italy, Japan, and the Netherlands) are headquarters for other customers of Accellion as publicized on their website. (Source: Recorded Future)

軽減策

Accellionの侵害やDEWMODEのWebシェルに関連して使用されたTTPは広く公表されており、脅威アクターは検出を回避するためにTTPを変更する可能性がありますが、Insikt Groupは次の緩和策をアドバイスしています。

このキャンペーンから組織に対するサードパーティーのリスクを監視します。潜在的な監視パラメータには、Accellion FTAを使用する企業に対する公開報告されたサイバー攻撃、CL0P LEAKS Webサイト上の漏洩データへの新しい参照、UNC2546、FIN11、またはClopランサムウェアに関連する脅威グループまたはマルウェアが含まれます。
Accellion は、この侵害に関連するすべての脆弱性に対するパッチをリリースしており、Accellion FTA サーバーを使用している組織はバージョン FTA_9_12_416 に更新する必要があります。
システムでAccellion FTAを実行している場合は、パッチが適用されるまでシステムをインターネットから分離することを検討してください。
悪意のある動作が特定された場合、CISA は "W1" 暗号化トークンとシステム上のその他のセキュリティトークンをリセットすることをお勧めします。
AccellionのFTA製品は、2021年4月30日に販売終了となります。この製品を使用しているお客様は、FTA の EOL が近づくにつれて、ファイル共有プラットフォームの移行先となる代替オプションを検討する必要があります。

あなたの組織が脆弱なバージョンのAccellion FTAを実行していた場合、侵害があったかどうかを判断するためにインシデント対応調査を実施する必要があります。次の方法を使用して、ログデータを調べて侵害の兆候を確認できます。

組織は、DEWMODE Webシェルに関連する次のようなネットワーク要求を監視する必要があります。
/about.html?dwn=[暗号化パス]&fn=[暗号化ファイル名]へのGETリクエスト
/about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c への GET リクエスト
/about.html?aid=1000 への GET リクエスト
According to CISA, there was an incident in which a large amount of data was exfiltrated on port 443 to 194.88.104[.]24 and another in which several TCP sessions had IP address 45.135.229[.]179.
次のファイルシステムイベントが侵害に関連付けられていました。
/home/seos/courier または /home/httpd/html に "about.html" を作成
ファイル/courier/oauth.apiに書き込みます。ここで、含まれているデータは、上記の eval シェルの説明と一致します
/courier/document_root.html または /courier/sftp_account_edit.php にアクセスします。
Apache ログディレクトリ /var/opt/apache に含まれるログに対するいくつかの変更
他の研究者は、この脅威活動をClopランサムウェアの背後にいる脅威アクターにさまざまな程度の信頼度で関連付けていますが、Insikt Groupはこれを確認または反論するのに十分な情報を持っていません。

今後の展望

本キャンペーンに関する報告の過程でAccellionが発表した記述の変更を踏まえると、当社はこれらの脆弱性に関連する侵害の程度についてまだ十分に認識していない可能性があります。さらに、Accellionのクライアントを含む業界や国の数から、今後、Accellion FTAの悪用に関する報告では、これまでに報告されたよりも多くの企業、業界、国が明らかになると思われます。

Accellion FTAなどの製品のサポートが終了に近づくと、開発者のサポートが少なくなり、今後の更新の監視ができなくなる可能性があります。テクノロジースタックにソフトウェアまたはハードウェアがあり、サポートが終了した、またはサポート終了が近づいている組織は、これらの製品を引き続き監視し、これらのツールをより最新のサポート対象ツールに移行する戦略を開発する必要があります。

編集者注: This post was an excerpt of a full report. To read the entire analysis, をクリックして、レポートをPDFとしてダウンロードします。