هاكرز يستغلون ثغرات Accellion لسرقة البيانات وشن هجمات ابتزاز

متابعات-ميكسي نيوز

ثغرات Accellion….ربط باحثو الأمن السيبراني يوم الاثنين سلسلة من الهجمات التي تستهدف خوادم أجهزة نقل الملفات (FTA) على مدار الشهرين الماضيين إلى حملة سرقة البيانات والابتزاز التي تنشرها مجموعة جرائم إلكترونية تسمى UNC2546.

تضمنت الهجمات ، التي بدأت في منتصف ديسمبر 2020 ، استغلال نقاط الضعف المتعددة ليوم الصفر في برنامج FTA Legacy لتثبيت قذيفة ويب جديدة تسمى Dewmode على شبكات الضحايا والبيانات الحساسة المتنوعة ، والتي تم نشرها بعد ذلك على موقع تسرب بيانات تديره مجموعة Clop Ransomware.

ولكن في تطور ، لم يتم نشر أي فدية في أي من الحوادث الأخيرة التي ضربت المنظمات في الولايات المتحدة وسنغافورة وكندا وهولندا ، حيث تلجأ الممثلون بدلاً من ذلك إلى رسائل البريد الإلكتروني الابتزاز لتهديد الضحايا لدفع فدية البيتكوين.

وفق أعمال محفوفة بالمخاطر، تشمل بعض الشركات التي أدرجت بياناتها على الموقع مزود الاتصالات في سنغافورة Singtel، المكتب الأمريكي للشحن ، مكتب المحاماة يوم جونز، ومقرها هولندا Fugroو Sciences Company Danaher.

في أعقاب عدد كبير من الهجمات ، قام Accellion بتصحيح أربع نقاط الضعف FTA التي كان من المعروف أنها تستغلها ممثلو التهديدات ، بالإضافة إلى دمج قدرات المراقبة والتنبيه الجديدة للعلامة على أي سلوك مشبوه. العيوب على النحو التالي –

• CVE-2021-27101-حقن SQL عبر رأس مضيف مصنوع
• CVE-2011-27102-تنفيذ أوامر نظام التشغيل عبر مكالمة خدمة ويب محلية
• CVE-2021-27103-SSRF عبر طلب منشور مصنوع
• CVE-2021-27104-تنفيذ أوامر OS عبر طلب منشور مصنوع

فريق Fireeye Mandiant Threat Intelligence ، الذي يقود جهود الاستجابة للحادث ، هو التتبع إن مخطط الابتزاز المتابع بموجب مجموعة تهديدات منفصلة يسميها UNC2582 على الرغم من التداخل “المقنع” المحدد بين مجموعتي الأنشطة الضارة والهجمات السابقة التي تنفذها مجموعة قرصنة ذات دوافع مالية تطلق عليها FIN11.

وقال Fireeeye: “تم استهداف العديد من المنظمات التي تعرضها UNC2546 من قبل FIN11”. “تم إرسال بعض رسائل البريد الإلكتروني التابلية UNC2582 التي لوحظت في يناير 2021 من عناوين IP و/أو حسابات البريد الإلكتروني المستخدمة من قبل FIN11 في حملات التصيد المتعددة بين أغسطس و ديسمبر 2020.”

بمجرد التثبيت ، تم الاستفادة من Dewmode Web Shell لتنزيل الملفات من مثيلات FTA المعرضة للخطر ، مما أدى إلى حصول الضحايا على رسائل البريد الإلكتروني الابتزاز التي تدعي أنها من “فريق Clop Ransomware” بعد عدة أسابيع.

من شأن الافتقار إلى الرد في الوقت المناسب أن يؤدي إلى إرسال رسائل بريد إلكتروني إضافية إلى مجموعة أوسع من المستلمين في منظمة الضحايا بالإضافة إلى شركائها الذين يحتويون على روابط للبيانات المسروقة ، وفقًا للباحثين مفصلين.

إلى جانب حث عملائها في اتفاقية التجارة الحرة على الترحيل إلى Kiteworks ، Accelleion قال كان أقل من 100 من أصل 300 من إجمالي عميل FTA ضحايا للهجوم ، ويبدو أن أقل من 25 عامًا قد عانى من سرقة البيانات “المهمة”.

ويأتي التطوير بعد سلسلة البقالة كروجر تم الكشف عنها في الأسبوع الماضي ، قد تكون بيانات الموارد البشرية وسجلات الصيدلة وسجلات خدمات المال التي تنتمي إلى بعض العملاء قد تعرضت للخطر نتيجة لحادث Accellion.

ثم في وقت سابق اليوم ، أصبح Transport for New South Wales (TFNSW) أحدث كيان يؤكد أنه تأثر بخرق بيانات Accellion في جميع أنحاء العالم.

“تم استخدام نظام Accellion على نطاق واسع لمشاركة الملفات وتخزينها من قبل المنظمات في جميع أنحاء العالم ، بما في ذلك النقل لنيو ساوث ويلز” ، الوكالة الأسترالية قال. “قبل انقطاع الهجوم على خوادم Accellion ، تم نقل بعض معلومات النقل للحصول على معلومات نيو ساوث ويلز.”

متابعات-ميكسي نيوز

ثغرات Accellion….ربط باحثو الأمن السيبراني يوم الاثنين سلسلة من الهجمات التي تستهدف خوادم أجهزة نقل الملفات (FTA) على مدار الشهرين الماضيين إلى حملة سرقة البيانات والابتزاز التي تنشرها مجموعة جرائم إلكترونية تسمى UNC2546.

تضمنت الهجمات ، التي بدأت في منتصف ديسمبر 2020 ، استغلال نقاط الضعف المتعددة ليوم الصفر في برنامج FTA Legacy لتثبيت قذيفة ويب جديدة تسمى Dewmode على شبكات الضحايا والبيانات الحساسة المتنوعة ، والتي تم نشرها بعد ذلك على موقع تسرب بيانات تديره مجموعة Clop Ransomware.

ولكن في تطور ، لم يتم نشر أي فدية في أي من الحوادث الأخيرة التي ضربت المنظمات في الولايات المتحدة وسنغافورة وكندا وهولندا ، حيث تلجأ الممثلون بدلاً من ذلك إلى رسائل البريد الإلكتروني الابتزاز لتهديد الضحايا لدفع فدية البيتكوين.

وفق أعمال محفوفة بالمخاطر، تشمل بعض الشركات التي أدرجت بياناتها على الموقع مزود الاتصالات في سنغافورة Singtel، المكتب الأمريكي للشحن ، مكتب المحاماة يوم جونز، ومقرها هولندا Fugroو Sciences Company Danaher.

في أعقاب عدد كبير من الهجمات ، قام Accellion بتصحيح أربع نقاط الضعف FTA التي كان من المعروف أنها تستغلها ممثلو التهديدات ، بالإضافة إلى دمج قدرات المراقبة والتنبيه الجديدة للعلامة على أي سلوك مشبوه. العيوب على النحو التالي –

• CVE-2021-27101-حقن SQL عبر رأس مضيف مصنوع
• CVE-2011-27102-تنفيذ أوامر نظام التشغيل عبر مكالمة خدمة ويب محلية
• CVE-2021-27103-SSRF عبر طلب منشور مصنوع
• CVE-2021-27104-تنفيذ أوامر OS عبر طلب منشور مصنوع

فريق Fireeye Mandiant Threat Intelligence ، الذي يقود جهود الاستجابة للحادث ، هو التتبع إن مخطط الابتزاز المتابع بموجب مجموعة تهديدات منفصلة يسميها UNC2582 على الرغم من التداخل “المقنع” المحدد بين مجموعتي الأنشطة الضارة والهجمات السابقة التي تنفذها مجموعة قرصنة ذات دوافع مالية تطلق عليها FIN11.

وقال Fireeeye: “تم استهداف العديد من المنظمات التي تعرضها UNC2546 من قبل FIN11”. “تم إرسال بعض رسائل البريد الإلكتروني التابلية UNC2582 التي لوحظت في يناير 2021 من عناوين IP و/أو حسابات البريد الإلكتروني المستخدمة من قبل FIN11 في حملات التصيد المتعددة بين أغسطس و ديسمبر 2020.”

بمجرد التثبيت ، تم الاستفادة من Dewmode Web Shell لتنزيل الملفات من مثيلات FTA المعرضة للخطر ، مما أدى إلى حصول الضحايا على رسائل البريد الإلكتروني الابتزاز التي تدعي أنها من “فريق Clop Ransomware” بعد عدة أسابيع.

من شأن الافتقار إلى الرد في الوقت المناسب أن يؤدي إلى إرسال رسائل بريد إلكتروني إضافية إلى مجموعة أوسع من المستلمين في منظمة الضحايا بالإضافة إلى شركائها الذين يحتويون على روابط للبيانات المسروقة ، وفقًا للباحثين مفصلين.

إلى جانب حث عملائها في اتفاقية التجارة الحرة على الترحيل إلى Kiteworks ، Accelleion قال كان أقل من 100 من أصل 300 من إجمالي عميل FTA ضحايا للهجوم ، ويبدو أن أقل من 25 عامًا قد عانى من سرقة البيانات “المهمة”.

ويأتي التطوير بعد سلسلة البقالة كروجر تم الكشف عنها في الأسبوع الماضي ، قد تكون بيانات الموارد البشرية وسجلات الصيدلة وسجلات خدمات المال التي تنتمي إلى بعض العملاء قد تعرضت للخطر نتيجة لحادث Accellion.

ثم في وقت سابق اليوم ، أصبح Transport for New South Wales (TFNSW) أحدث كيان يؤكد أنه تأثر بخرق بيانات Accellion في جميع أنحاء العالم.

“تم استخدام نظام Accellion على نطاق واسع لمشاركة الملفات وتخزينها من قبل المنظمات في جميع أنحاء العالم ، بما في ذلك النقل لنيو ساوث ويلز” ، الوكالة الأسترالية قال. “قبل انقطاع الهجوم على خوادم Accellion ، تم نقل بعض معلومات النقل للحصول على معلومات نيو ساوث ويلز.”