大东:小白你马上就要工作了,你知道在公司重要文件传输用什么软件吗?小白:我不太知道啊!东哥,有没有什么推荐的软件呢?大东:市面上的文件传输软件还真不少,这里我就不赘述了,小白感兴趣可以问问师长,就不要自己去搜索下载了哦!大东:当然,因为大部分的小众软件都没有安全保障,并且一些被市场接受的大众软件却更容易被攻击者针对。大东:要谈文件传输软件,就不得不提一家安全厂商 Accellion。
他是一家私有云解决方案提供商。问题就出在他的文件传输程序 FTA。攻击者利用了 FTA 中的 0day 漏洞,访问并窃取了大量用户数据!比如 2021 年 3 月工业巨头霍尼韦尔的员工使用 FTA 传输机密文件,导致其 IT 系统遭攻击者的恶意软件破坏,而同样在 3 月份,能源巨头壳牌公司也遭遇了黑客攻击!
显然是的,壳牌公司 2021 年 3 月表示,攻击者利用了 FTA 的零日漏洞,已经访问了一些个人数据以及属于壳牌利益相关方和子公司的数据。首先便是 Accellion 作为一家安全厂商,理应为其他公司提供保障,自身却出现了安全问题。哈哈,没错!除了 Accellion 本身的问题以外,各大企业在处理私密数据时也并不是高度谨慎,没有对安全厂商进行深入调研,错付了信任。
据相关安全人员调查分析,攻击过程中,黑客通过服务器 0day 漏洞安装了一个名为 “DEWMODE” 的 web shell,再用于下载存储在目标受害者 FTA 服务器上的相关文件。显然是这样的。据调查显示,在泄密事件爆发后,陆续有受害者收到该黑客组织的勒索电子邮件,威胁要将窃取的数据发布在名为 “CL0P^_- LEAKS” 的网站上。
这其实是一个非法交易的暗网,很多通过非正当途径窃取的用户数据都会在这里被变卖。泄露的数据包括公司发票、采购订单、税务文件和扫描报告等,都是至关重要的商业机密数据。2021 年 3 月,火眼的安全专家指出,FTA 攻击事件的始作俑者是黑客组织 FIN11(也称 UNC2546)。嗯,不错,看来你没有忘记咱们的 APT 普及课,平时肯定认真复习了,值得鼓励!
说来也是有趣,虽然 FIN11 正在泄露或是准备泄露受害者的数据,但并没有真实地直接对受害者受感染的系统进行加密。没错,作为一个向来以经济利益为动机的攻击组织,FIN11 此次却没有真实地从中获取勒索赎金,也让相关专家们对这次攻击行动动机存疑。技术人员目前仍在跟踪两个单独的活动集群。
首先追踪的是 UNC2546 的第一个集群,该集群与利用 Accellion 的 FTA 软件中的零日漏洞,进而从运行旧版的 FTA 产品的目标组织中窃取数据有关。其次跟踪的是 UNC2582 的第二个集群,该集群与随后的勒索活动有关。
漫长并不可怕,火眼研究人员已经宣布 “我们已经确定了 UNC2582,UNC2546 和以前的 FIN11 操作之间的重叠,并且将继续评估这些活动集群之间的关系,继续 FireEye。” 该厂商为了应对本次攻击浪潮,发布了多个安全补丁,以解决黑客利用的漏洞。而且公司还将在 2021 年 4 月 30 日之前淘汰旧有的 FTA 服务器软件。大东:传输的时候也要连接内网,不可公网传输。
此外,一定要加强员工的安全意识。小白:嗯嗯,收到了,东哥,保守公司秘密是每个员工的基本义务!