>
연구(Insikt)

Accellion의 FTA 어플라이언스 타협, DEWMODE 및 공급망 영향에 대한 이해

게시일: 2021년 3월 12일
작성자: Insikt Group

insikt-logo-blog.png

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 Accellion 파일 전송 어플라이언스 침해에 대한 개괄적인 개요와 침해에 사용된 DEWMODE 웹셸에 대한 분석을 제공합니다. 인식트 그룹은 이 연구를 수행하기 위해 오픈 소스 리서치(OSINT), PolySwarm, 멀웨어 분석, Recorded Future® 플랫폼을 사용했습니다. 이 연구의 대상에는 일상적인 보안 실무자뿐만 아니라 타사 시스템 및 소프트웨어의 표적 공격에 대해 우려하는 경영진의 의사 결정권자도 포함됩니다.

Executive Summary

약 100개의 고객사에 영향을 미친 Accellion 파일 전송 어플라이언스(FTA) 파일 공유 서비스의 침해는 주로 툴의 제로데이 취약점 4개를 통해 위협 행위자가 DEWMODE 웹 셸을 피해자 서버에 배치하고 해당 서버에서 파일을 유출할 수 있게 해주었습니다. 2021년 2월 25일 현재 여러 분야(금융, 정부, 법률, 교육, 통신, 의료, 소매, 제조)와 여러 국가(호주, 뉴질랜드, 싱가포르, 영국, 미국)의 13개 조직이 Accellion FTA 협상의 결과로 데이터 유출을 겪었습니다. 피해자 데이터가 CL0P LEAKS 웹사이트에 나타나 이 웹사이트 운영자와 Clop 랜섬웨어 배후 공격자 간의 연결 고리가 확인되었습니다. 가까운 시일 내에 추가 피해자가 보고될 것으로 보이며, 이미 보고된 것 외에도 추가적인 산업과 국가에 피해자가 있을 것으로 예상됩니다. 해당 환경에서 Accellion FTA를 사용하는 고객은 소프트웨어를 FTA_9_12_416 버전 이상으로 업데이트하고 Insikt Group의 권장 완화 조치를 사용하여 이러한 서버에서 관련 악성 행위를 찾는 것이 좋습니다.

배경

2021년 1월 10일, 뉴질랜드 중앙은행은 타사 파일 공유 서비스의 침해로 인한 데이터 유출을 보고했으며, 얼마 지나지 않아 Accellion으로 확인되었습니다. 은행은 하루 뒤 유출에 대한 성명을 발표하고 이번 유출로 인해 상업적으로나 개인적으로 민감한 정보가 노출되었을 수 있다고 밝혔습니다. 애드리안 오르 중앙은행 총재는 중앙은행이 특별히 표적이 된 것은 아니며, Accellion FTA의 다른 사용자들도 피해를 입었다고 Accellion으로부터 통보를 받았다고 말했습니다.

얼마 지나지 않아 1월 12일, Accellion은 보도자료를 통해 "50명 미만의 고객" 이 레거시 FTA 소프트웨어의 "P0 취약점" 의 영향을 받았다고 밝혔습니다. 또한 2020년 12월 중순에 취약점을 처음 알게 되었으며, 이후 72시간 내에 최소한의 영향만으로 "패치를 배포했다고 주장했습니다(").

주요 판단

  • Accellion FTA 데이터 유출은 4개의 제로데이 취약점에 의해 발생했으며, 초기 액세스 권한은 SQL 인젝션 취약점인 CVE-2021-27101을 통해 획득했습니다.
  • 이 캠페인에 대한 보고 과정에서 Accellion의 진술이 변경된 것을 보면, 회사는 이러한 취약점과 관련된 침해의 범위를 아직 완전히 파악하지 못한 것으로 보입니다. 또한, Accellion의 고객사가 포함된 산업 및 국가 수를 고려할 때, 향후 Accellion FTA 악용에 대한 보고서에는 이전에 보고된 것보다 더 많은 기업, 산업 및 국가가 공개될 것으로 예상됩니다.

위협 분석

Accellion의 첫 보도 자료가 나온 지 몇 주 만에 다른 여러 회사에서 Accellion FTA를 악용하여 발생한 데이터 유출을 공개했습니다. 또한, Accellion FTA 침해 피해자의 데이터가 CL0P LEAKS 웹 사이트에 나타나기 시작하여 이 웹 사이트 운영자와 Clop 랜섬웨어의 배후 공격자 사이에 연결 고리가 형성되었습니다. 2월 22일 Accellion이 공개한 잠재적 피해자 수와 이 글을 쓰는 시점(3월 12일)까지 확대된 피해자 명단에 따르면, 앞으로 한 달 동안 유사한 신고가 추가로 접수될 것으로 예상됩니다. 다음 타임라인은 새로운 피해자 공개, 보안 연구원의 분석 및 Accellion 자체의 업데이트를 추적합니다.

  • 1월 22일 - 호주 로펌 Allens가 Accellion FTA 침해로 인한 데이터 유출을 보고합니다.
  • 1월 25일 - 호주 증권투자위원회가 1월 15일에 Accellion FTA 침해로 인한 데이터 유출을 인지했다고 공개합니다.
  • 2월 2일 - 호주나 뉴질랜드가 아닌 최초의 피해자인 미국 로펌 굿윈 프록터가 Accellion FTA 침해로 인한 데이터 유출을 공개합니다.
  • 2월 4일 - 미국 워싱턴 주 감사관실에서 Accellion FTA 침해로 인한 데이터 유출을 공개합니다.
  • 2월 9일 - 콜로라도 대학교가 Accellion FTA 침해로 인해 데이터 유출을 당했다는 오픈 소스 보고서가 공개되었습니다.
  • 2월 11일 - 싱가포르의 통신사 Singtel과 호주의 의료 연구 기관인 QIMR Berghofer가 Accellion FTA 침해로 인한 데이터 유출을 공개합니다. 1월 4일에 Accellion으로부터 긴급 패치를 적용하라는 요청을 받았으며, 2월 2일에 Accellion은 해당 기관에 보안이 손상되었을 수 있다고 경고했습니다.
  • 2월 16일 - 미국 로펌 Jones Day에서 Accellion FTA 침해로 인한 데이터 유출을 확인했습니다. Accellion은 GitHub 페이지에 FTA 소프트웨어의 4가지 취약점에 대한 설명을 게시합니다: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104입니다.
  • 2월 17일 - 존스데이 데이터가 CL0P LEAKS 탈취 웹사이트에 등장했다는 오픈 소스 보고가 나오면서 Accellion FTA를 통해 피해를 입은 다른 조직들도 이 범죄자들에게 유사한 데이터 노출에 직면할 가능성이 제기되었습니다.
  • 2월 19일 - 미국 식료품 체인 Kroger에서 Accellion FTA 위반으로 인한 데이터 유출을 공개합니다.
  • 2월 21일 - 기록된 미래 데이터는 CL0P LEAKS 웹사이트에 존스데이 데이터가 표시되는 것을 확인했습니다.
  • 2월 22일 - FireEye가 Accellion FTA 침해와 UNC2546, 사이버 범죄 그룹 FIN11, Clop 랜섬웨어 공격을 통해 탈취한 데이터의 갈취 사이트 운영자, DEWMODE라는 웹 셸 사이의 연관성을 자세히 설명하는 블로그를 공개합니다. "같은 날 Accellion은 약 300개의 전체 FTA 고객사 중 100개 미만이 공격의 피해자였다는 성명서 " 를 발표했습니다.
  • 2월 23일 - 캐나다 항공기 제조업체인 봄바디어와 호주 정부 기관인 뉴사우스웨일스주 교통부가 Accellion FTA 위반으로 인한 데이터 유출을 공개합니다.
  • 2월 24일 - 레코디드 퓨처가 CL0P 유출 웹사이트에 싱텔과 봄바디어의 데이터 노출을 기록합니다. Five Eyes 회원사들은 Accellion FTA 취약점을 악용하는 지속적인 공격에 대한 공동 권고문을 발표합니다. 이 권고에 따르면 영향을 받는 조직은 "호주, 뉴질랜드, 싱가포르, 영국[아직 데이터 유출을 공개한 조직은 없음], 미국" 에 있습니다. 오픈 소스 보고서에 따르면 미국 의료 보험 회사인 센텐이 Accellion FTA 침해로 인한 데이터 유출의 또 다른 피해자라고 합니다.
  • 3월 3일 - 보안 회사 Qualys는 취약한 Accellion FTA 서버에서 데이터 유출이 발생했다고 발표했습니다. CL0P LEAKS는 구매 주문서, 송장, 세금 문서, 스캔 보고서 등의 데이터가 포함된 Qualys에서 도난당한 것으로 추정되는 파일의 스크린샷을 공개했습니다.
  • 3월 6일 - 플래그스타 은행은 2021년 1월 22일에 플래그스타에 보안 문제를 처음 알린 고객에게 Accellion FTA 침해로 인해 영향을 받았다고 통보했습니다. 플래그스타는 이제 FTA 사용을 영구적으로 중단했습니다. 결과적으로 고객 데이터는 영향을 받았지만 운영에는 영향을 미치지 않았다고 플래그스타는 말합니다. 플래그스타 데이터는 3월 9일 CL0P LEAKS에 게시되었습니다.

잠재적 악용의 범위에 대한 Accellion의 설명은 최초 공개 이후 변경되었습니다. 1월 12일에는 영향을 받는 고객이 50명 미만이라고 밝혔지만, 2월 22일까지는 전체 FTA 고객 300명 중 100명 미만으로 수정했습니다.

아래 그래프는 공공 부문이 Accellion FTA 취약점 악용의 영향을 가장 많이 받았다는 것을 보여줍니다. 그러나 Accellion이 공개한 고객 산업 분포를 보면 의료, 금융, 에너지 분야가 공개된 것보다 더 큰 영향을 받은 것으로 보입니다.

듀모드-액셀리온-공급망-임팩트-1-1.png 그림 1: Accellion이 공개한 FTA 취약점 악용 피해자의 산업 분포(하늘색)와 Accellion 웹사이트에 등록된 유명 고객사의 산업 분포(진한 파란색) (출처: 레코디드 퓨처)

파이브 아이즈 보고서와 저희의 조사에 따르면 호주, 캐나다, 뉴질랜드, 싱가포르, 영국, 미국은 지금까지의 피해자 분포를 볼 때 이번 일련의 공격으로 인해 가장 큰 영향을 받은 국가이며 앞으로도 계속 영향을 받을 것으로 예상하고 있습니다. 그러나 이러한 공격이 해당 국가를 좁게 타깃팅한 것이라고는 생각하지 않습니다. 또한 아래 지도에서 볼 수 있듯이 프랑스, 독일, 이스라엘, 이탈리아, 일본, 네덜란드 등 Accellion의 고객(따라서 악용의 잠재적 피해자)을 호스팅하는 다른 여러 국가가 있습니다.

듀모드-액셀리온-공급망-임팩트-2-1.png 그림 2: Accellion FTA 활용의 영향을 받는 국가. 빨간색으로 표시된 국가(호주, 캐나다, 뉴질랜드, 싱가포르, 영국, 미국)는 Accellion FTA 악용이 확인된 피해자의 본거지입니다. 주황색 국가(프랑스, 독일, 이스라엘, 이탈리아, 일본, 네덜란드)는 웹사이트에 공개된 대로 Accellion의 다른 고객사의 본사가 있는 국가입니다. (출처: 레코딩된 미래)

완화 조치

Accellion 침해 사고와 DEWMODE 웹 셸과 관련하여 사용된 TTP가 널리 알려졌고 위협 공격자가 탐지를 회피하기 위해 이를 수정할 수 있지만, Insikt 그룹은 다음과 같은 완화 조치를 권고합니다:

  • 이 캠페인을 통해 조직에 대한 타사의 위험을 모니터링하세요. 잠재적인 모니터링 매개변수에는 Accellion FTA를 사용하는 기업에 대해 공개적으로 보고된 사이버 공격, CL0P LEAKS 웹사이트에서 유출된 데이터에 대한 새로운 참조, UNC2546, FIN11 또는 Clop 랜섬웨어와 관련된 위협 그룹 또는 멀웨어가 포함될 수 있습니다.

  • Accellion은 이번 침해와 관련된 모든 취약점에 대한 패치를 릴리스했으며, Accellion FTA 서버를 사용하는 조직은 FTA_9_12_416 버전으로 업데이트해야 합니다.

  • 시스템이 Accellion FTA를 실행 중인 경우 패치를 적용할 수 있을 때까지 시스템을 인터넷에서 격리하는 것이 좋습니다.

  • 악의적인 동작이 확인되면 CISA는 "W1" 암호화 토큰 및 시스템의 다른 보안 토큰을 재설정할 것을 권장합니다.

  • Accellion의 FTA 제품은 2021년 4월 30일에 수명이 종료됩니다. 제품을 사용하는 고객은 FTA에 대한 EOL이 다가옴에 따라 마이그레이션할 파일 공유 플랫폼의 대체 옵션을 고려해야 합니다.

조직에서 취약한 버전의 Accellion FTA를 실행하고 있었다면 침해 여부를 확인하기 위해 사고 대응 조사를 수행해야 합니다. 다음 방법을 사용하여 로그 데이터에서 침해 징후를 검사할 수 있습니다.

  • 조직은 다음을 포함하여 DEWMODE 웹 셸과 관련된 네트워크 요청을 모니터링해야 합니다:

  • GET 요청을 /about.html?dwn=[암호화된 경로]&fn=[암호화된 파일명]으로 전송합니다.

  • GET 요청을 / about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c로 보내세요.

  • GET 요청을 /about.html?aid=1000으로 보내기

  • CISA에 따르면 포트 443에서 194.88.104[.]24로 대량의 데이터가 유출되는 사고가 발생했습니다. 와 여러 TCP 세션의 IP 주소가 45.135.229[.]179인 다른 세션이 있습니다.

  • 다음 파일 시스템 이벤트가 침해와 관련이 있었습니다:

  • home/seos/courier 또는 /home/httpd/html에 "about.html"을 생성합니다.

  • courier/oauth.api 파일에 씁니다, 여기서 포함된 데이터는 위의 평가 셸 설명과 일치합니다.

  • 택배/문서_루트.html 또는 택배/sftp_계정_편집.php에 액세스합니다.

  • 아파치 로그 디렉토리인 /var/opt/apache에 포함된 로그에 대한 몇 가지 수정 사항

  • 다른 연구자들은 이 위협 활동을 Clop 랜섬웨어의 배후에 있는 위협 행위자와 다양한 수준의 확신을 가지고 연결했지만, Insikt Group은 이를 확인하거나 반박할 충분한 정보를 가지고 있지 않습니다.

전망

이 캠페인에 대한 보고 과정에서 Accellion의 진술이 변경된 것을 보면, 회사는 이러한 취약점과 관련된 침해의 범위를 아직 완전히 파악하지 못한 것으로 보입니다. 또한, Accellion의 고객사가 포함된 산업 및 국가 수를 고려할 때, 향후 Accellion FTA 악용에 대한 보고서에는 이전에 보고된 것보다 더 많은 기업, 산업 및 국가가 공개될 것으로 예상됩니다.

Accellion FTA와 같이 수명이 다한 제품은 앞으로 개발자 지원이 줄어들고 업데이트 감독도 줄어들 가능성이 높습니다. 기술 스택에 수명이 다했거나 다가오는 소프트웨어 또는 하드웨어가 있는 조직은 이러한 제품을 지속적으로 모니터링하고 이러한 도구를 최신 지원 도구로 마이그레이션하는 전략을 개발해야 합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, Click Here 를 클릭하여 보고서를 PDF로 다운로드하세요.

관련