>
Insiktレポート

AccellionのFTAアプライアンスの妥協、DEWMODE、およびそのサプライチェーンへの影響を理解する

投稿: 2021年3月12日
作成者 : Insikt Group

insikt-logo-blog.png

編集者注:以下の記事は、レポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

このレポートでは、Accellion File Transfer Applianceの侵害の概要と、結果として発生した侵害で使用されたDEWMODE Webシェルの分析について説明します。 Insikt Group は、この調査を実施するために、オープン・ソース研究 (OSINT)、PolySwarm、マルウェア分析、および Recorded Future® Platform を使用しました。 この調査の対象読者には、日常的なセキュリティ実務家だけでなく、サードパーティのシステムやソフトウェアの標的化に関心のある経営幹部の意思決定者も含まれます。

Executive Summary

Accellion File Transfer Appliance(FTA)ファイル共有サービスの侵害は、同社の約100のクライアントに影響を与えましたが、主にツールの4つのゼロデイ脆弱性により、脅威アクターが被害者のサーバーにDEWMODE Webシェルを配置し、それらのサーバーからファイルを盗み出すことができました。 2021年2月25日現在、Accellion FTAの侵害により、複数のセクター(金融、政府、法律、教育、通信、ヘルスケア、小売、製造)および複数の国(オーストラリア、ニュージーランド、シンガポール、英国、米国)の13の組織がデータ侵害の被害に遭っています。 被害者のデータがWebサイトCL0P LEAKSに表示され、このWebサイトの運営者とClopランサムウェアの背後にいる攻撃者との間にリンクが確立されています。 近い将来、新たな被害者の報告がある可能性が高く、これらの被害者は、すでに報告されているもの以外にも、他の業界や国に所属しているのではないかと思われます。 お客様の環境でAccellion FTAを使用しているお客様は、ソフトウェアをバージョンFTA_9_12_416以降に更新し、Insikt Groupが推奨する緩和策を使用して、これらのサーバーに関連する悪意のある動作を探すことをお勧めします。

背景

2021年1月10日、 ニュージーランド準備銀行 は、サードパーティのファイル共有サービスが侵害されたことによるデータ侵害を報告しました。その直後にAccellionと特定されました。 銀行は翌日、侵害に関する 声明 を発表し、その中で、侵害によって商業的および個人的な機密情報が流出した可能性があると述べています。 準備銀行のエイドリアン・オア総裁は、準備銀行が特に標的にされておらず、Accellion FTAの他のユーザーも侵害されているとAccellionから助言されたと述べました。

その直後の1月12日、Accellionは プレスリリース で、レガシーFTAソフトウェアの「P0脆弱性」の影響を受けたのは「50人未満の顧客」であると述べました。 さらに、2020年12月中旬にこの脆弱性を初めて知ったと主張し、その後、「影響を最小限に抑えて72時間で」パッチがリリースされたと主張しています。

主な判断

  • Accellion FTAのデータ侵害は、SQLインジェクションの脆弱性であるCVE-2021-27101を通じて初期アクセスが得られた4つのゼロデイ脆弱性によって可能になりました。
  • 本キャンペーンに関する報告の過程でAccellionが発表した記述の変更を踏まえると、当社はこれらの脆弱性に関連する侵害の程度についてまだ十分に認識していない可能性があります。 さらに、Accellionのクライアントを含む業界や国の数から、今後、Accellion FTAの悪用に関する報告では、これまでに報告されたよりも多くの企業、業界、国が明らかになると思われます。

脅威分析

Accellionの最初のプレスリリースから数週間以内に、他の複数の企業がAccellion FTAの悪用により発生したデータ侵害を公開しました。 さらに、Accellion FTA侵害の被害者のデータがWebサイトCL0P LEAKSに表示され始め、このWebサイトの運営者とClopランサムウェアの背後にいる攻撃者との間にリンクが確立されました。 Accellionが2月22日に発表した被害者候補の数と、本稿執筆時点(3月12日)までに被害者のリストが拡大していることから、来月にかけて同様の報告がさらに増えると予想されます。 次のタイムラインは、新たな被害者の開示、セキュリティ研究者の分析、Accellion 自体からの更新を追跡しています。

  • 1月22日 — オーストラリアの法律事務所 Allens が、Accellion FTAの侵害によるデータ侵害を報告しました。
  • 1月25 日 — オーストラリア証券投資委員会 (SEC)は、1月15日、Accellion FTAの侵害によるデータ侵害に気づいたと発表しました。
  • 2月2日 — 米国法律事務所 のグッドウィン・プロクター(Goodwin Procter)は、オーストラリアまたはニュージーランド人以外で初めての被害者であり、Accellion FTAの侵害によるデータ侵害を開示しました。
  • 2月4 日 — 米国 ワシントン州監査 局は、Accellion FTAの侵害によるデータ侵害を開示しました。
  • 2月9日 — オープンソースは、 コロラド大学 がAccellion FTAの侵害によりデータ侵害を受けたと報告しています。
  • 2月11 日 — シンガポールの通信会社Singtelとオーストラリアの医学研究機関QIMR Berghoferは、Accellion FTAの侵害によるデータ侵害を開示しました。 QIMR Berghofer は、Accellionから1月4日に緊急パッチを実装するように依頼されたと主張しています。そして2月2日、アクセリオンは研究所に彼らが危険にさらされたかもしれないと警告した。
  • 2月16日 — 米国の法律事務所 ジョーンズ・デイ は、Accellion FTAの侵害によるデータ侵害を確認しました。 Accellion は GitHub ページで、FTA ソフトウェアの 4 つの脆弱性 (CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104) の説明を公開しています。
  • 2月17日 — オープンソースの 報告 によると、ジョーンズ・デイのデータがCL0P LEAKS恐喝ウェブサイトに掲載され、Accellion FTAを介して侵害された他の組織がこれらの犯罪者から同様のデータ漏洩に直面する可能性が紹介されています。
  • 2月19日 — 米国の食料品チェーン Kroger が、Accellion FTAの侵害によるデータ侵害を開示。
  • 2月21日 — 記録された未来データにより、CL0P LEAKSのウェブサイトにジョーンズ・デイのデータが掲載されたことが確認されました。
  • 2月22日 — FireEyeは、Accellion FTAの侵害と、UNC2546として知られるグループ、サイバー犯罪グループFIN11、Clopランサムウェア攻撃によって盗まれたデータの恐喝サイトの運営者、およびDEWMODEと呼ばれるWebシェルとの関連を詳述した ブログ を公開しました。 同日、Accellionは「FTAの顧客約300社のうち、攻撃の被害に遭ったのは100人未満だった」という 声明 を発表した。
  • 2月23日 — カナダの航空機メーカー であるボンバルディア とオーストラリアの政府機関である ニューサウスウェールズ州運輸省 は、アクセリオンのFTA侵害によるデータ侵害を開示しました。
  • 2月24日 — Recorded Futureは、CL0P LeaksのウェブサイトでSingtelとBombardierのデータエクスポージャーを記録しました。 ファイブアイズのメンバーは、Accellion FTAの脆弱性を悪用した進行中の攻撃に関する 共同勧告 を発行しています。 アドバイザリには、影響を受ける組織は「オーストラリア、ニュージーランド、シンガポール、英国[データ侵害をまだ開示していない組織]、および米国」にあると記載されています。 オープンソースのレポートによると、米国の医療保険会社 Centene も、Accellion FTAの侵害によるデータ侵害の被害者であることが明らかになりました。
  • 3月3 日 — セキュリティ会社のQualysは、脆弱なAccellion FTAサーバーからデータ侵害を受けた と発表 しました。 CL0P LEAKSは、Qualysから盗まれたとされるファイルのスクリーンショット を公開し 、購入注文書、請求書、税務書類、スキャンレポートなどのデータが含まれています。
  • 3月6日 — Flagstar Bankは、2021年1月22日にFlagstarにセキュリティ問題を最初に通知したAccellion FTA侵害の影響を受けたこと を顧客に通知 しました。 Flagstarは現在、FTAの使用を永久に中止しています。 Flagstarは、その結果、運用は影響を受けなかったものの、顧客データは影響を受けたと述べています。 Flagstarのデータは、3月9日にCL0P LEAKSで 公開 されました。

潜在的な搾取の範囲に関するAccellionの解説は、最初の開示から変更されています。 1月12日、同社は影響を受けた顧客は50人未満であると述べました。2月22日までに、同社はこれをFTAクライアントの合計300社のうち100社未満に修正しました。

下のグラフは、Accellion FTA の脆弱性の悪用によって最も影響を受けたのは公共部門であることを示しています。 しかし、Accellionが 公表している 顧客産業の分布から、ヘルスケア、金融、エネルギーの各セクターは、公表されている以上に大きな影響を受けているのではないかと考えています。

dewmode-accellion-supply-chain-impact-1-1.png 図1:Accellion FTAの脆弱性エクスプロイトの被害者が公開されている業界(水色)と、Accellionのウェブサイトに掲載されている知名度の高い顧客の業界分布(紺色)(出典:Recorded Future)

ファイブアイズのレポートと私たちの調査で、Accellion FTA侵害の被害者を受け入れている国(オーストラリア、カナダ、ニュージーランド、シンガポール、英国、米国)は、これまでの被害者の分布に基づいて、この一連の攻撃の影響を最も受け続けると予想しています。 しかし、これらの攻撃がこれらの国を限定的に標的にしているとは考えていません。 さらに、下の地図が示すように、Accellion の顧客を受け入れている国 (したがって、搾取の潜在的な被害者) は、フランス、ドイツ、イスラエル、イタリア、日本、オランダなど、他にもいくつかあります。

dewmode-accellion-supply-chain-impact-2-1.png 図2:Accellion FTAの活用によって影響を受ける国 赤で囲った国(オーストラリア、カナダ、ニュージーランド、シンガポール、英国、米国)は、Accellion FTAの悪用の被害者が確認された人の本部です。 オレンジ色の国(フランス、ドイツ、イスラエル、イタリア、日本、オランダ)は、ウェブサイトで公開されているAccellionの他の顧客の本社です。 (出典:Recorded Future)

軽減策

Accellionの侵害やDEWMODEのWebシェルに関連して使用されたTTPは広く公表されており、脅威アクターは検出を回避するためにTTPを変更する可能性がありますが、Insikt Groupは次の緩和策をアドバイスしています。

  • このキャンペーンから組織に対するサードパーティーのリスクを監視します。 潜在的な監視パラメータには、Accellion FTAを使用する企業に対する公開報告されたサイバー攻撃、CL0P LEAKS Webサイト上の漏洩データへの新しい参照、UNC2546、FIN11、またはClopランサムウェアに関連する脅威グループまたはマルウェアが含まれます。

  • Accellion は、この侵害に関連するすべての脆弱性に対するパッチをリリースしており、Accellion FTA サーバーを使用している組織はバージョン FTA_9_12_416 に更新する必要があります。

  • システムでAccellion FTAを実行している場合は、パッチが適用されるまでシステムをインターネットから分離することを検討してください。

  • 悪意のある動作が特定された場合、CISA "W1" 暗号化トークンとシステム上のその他のセキュリティ トークンをリセットすることをお勧めします。

  • AccellionのFTA製品は、2021年4月30日に 販売終了となります 。 この製品を使用しているお客様は、FTA の EOL が近づくにつれて、ファイル共有プラットフォームの移行先となる代替オプションを検討する必要があります。

あなたの組織が脆弱なバージョンのAccellion FTAを実行していた場合、侵害があったかどうかを判断するためにインシデント対応調査を実施する必要があります。 次の方法を使用して、ログ データを調べて侵害の兆候を確認できます。

  • 組織は、DEWMODE Webシェルに関連する次のようなネットワーク要求を監視する必要があります。

  • /about.html?dwn=[暗号化パス]&fn=[暗号化ファイル名]へのGETリクエスト

  • /about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c への GET リクエスト

  • /about.html?aid=1000 への GET リクエスト

  • CISAによると、ポート443から194.88.104[.]24 また、複数のTCPセッションがIPアドレス45.135.229[.]179.

  • 次のファイルシステムイベントが侵害に関連付けられていました。

  • /home/seos/courier または /home/httpd/html に "about.html" を作成

  • ファイル/courier/oauth.apiに書き込みます。 ここで、含まれているデータは、上記の eval シェルの説明と一致します

  • /courier/document_root.html または /courier/sftp_account_edit.php にアクセスします。

  • Apache ログディレクトリ /var/opt/apache に含まれるログに対するいくつかの変更

  • 他の研究者は、この脅威活動をClopランサムウェア の背後に いる脅威アクターにさまざまな程度の信頼度で関連付けていますが、Insikt Groupはこれを確認または反論するのに十分な情報を持っていません。

今後の展望

本キャンペーンに関する報告の過程でAccellionが発表した記述の変更を踏まえると、当社はこれらの脆弱性に関連する侵害の程度についてまだ十分に認識していない可能性があります。 さらに、Accellionのクライアントを含む業界や国の数から、今後、Accellion FTAの悪用に関する報告では、これまでに報告されたよりも多くの企業、業界、国が明らかになると思われます。

Accellion FTAなどの製品のサポートが終了に近づくと、開発者のサポートが少なくなり、今後の更新の監視ができなくなる可能性があります。 テクノロジースタックにソフトウェアまたはハードウェアがあり、サポートが終了した、またはサポート終了が近づいている組織は、これらの製品を引き続き監視し、これらのツールをより最新のサポート対象ツールに移行する戦略を開発する必要があります。

編集者注:この記事はレポート全文の抜粋です。分析全体を読むには、 ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

関連