|
최근 데이터 도난 및 강탈 공격에 Accellion Zero-Day를 악용하는 해커들 침해사고분석팀 2021.02.24 |
|
|
월요일 사이버 보안 연구원들이 지난 2개월 동안 Accellion File Transfer Appliance(FTA) 서버를 겨냥한 공격들을 UNC2546이라는 사이버 범죄 그룹이 기획한 데이터 도난 및 강탈 캠페인과 연결했다.
2020년 12월 중순에 시작된 공격은 레거시 FTA 소프트웨어의 여러 제로 데이 취약점을 악용하여 피해자 네트워크에 DEWMODE라는 새 웹 셸을 설치하고 민감한 데이터를 유출한 다음 CLOP 랜섬웨어 갱이 운영하는 데이터 유출 웹 사이트에 게시했다.
그러나 미국, 싱가포르, 캐나다 및 네덜란드의 조직을 강타한 최근 사건에는 실제로 랜섬웨어가 배포되지 않았으며, 공격자들은 피해자가 비트 코인 몸값을 지불하도록 위협하기 위해 협박 이메일에 의존했다. Risky Business 에 따르면 유출 사이트에 등록된 회사에는 싱가포르의 통신 제공 업체 SingTel, 미국 배송국, 로펌 Jones Day, 네덜란드에 본사를 둔 Fugro 및 생명 과학 회사 Danaher가 포함된다.
 [그림1. 피해 기업에게 보내진 이메일]
수많은 공격에 이어 Accellion은 위협 행위자들이 악용한 것으로 알려진 4가지 FTA 취약점을 패치하고 새로운 모니터링 및 경고 기능을 통합하여 의심스러운 행동을 잡아냈다.
사고 대응 노력을 주도하고있는 FireEye의 Mandiant 위협 인텔리전스팀은 두 세트의 악의적인 활동과 이전에 금전적 목적을 가진 FIN11 해킹 그룹이 수행한 공격 사이에 겹치는 부분이 있음에도 불구하고 UNC2582라고하는 별도의 위협 클러스터에서 후속 강탈 계획을 추적하고 있다.
FireEye는 "UNC2546에 의해 피해를 본 많은 조직이 이전에 FIN11의 표적이었습니다. 2021년 1월에 관찰된 일부 UNC2582 협박 이메일은 2020년 8월과 12월 사이에 여러 피싱 캠페인에서 FIN11이 사용한 IP 주소 또는 이메일 계정에서 전송되었습니다."라고 말했다.
일단 설치되면 DEWMODE 웹 셸은 손상된 FTA 인스턴스에서 파일을 다운로드하는 데 활용되었으며, 피해자는 몇 주 후에 "CLOP 랜섬웨어 팀"에서 온 것으로 추정되는 협박 이메일을 받았다.
적시에 회신하지 않으면 훔친 데이터에 대한 링크가 포함된 추가 이메일이 피해 조직의 더 많은 직원들에게 전송될 것이라고 연구원들은 설명했다.
FTA 클라이언트들을 kiteworks로 마이그레이션하는 것 외에, Accellion는 총 300 중 100 미만의 FTA 클라이언트가 공격의 희생자였고 그 중 25 미만의 FTA 클라이언트들이 심각한 데이터 도난 피해를 입은 것으로 보인다.
식료품 체인 Kroger가 지난 주 Accellion 공격의 결과로 일부 고객의 HR 데이터, 약국 기록, 돈의 서비스 레코드가 는 손상되었을 수 있음을 공개한 후 개발이 진행되었다.
그리고 오늘 Transport for New South Wales(TfNSW)는 가장 최근에 Accellion 데이터 침해의 영향을 확실하게 받은 법인이 되었다.
호주 기관은 "Accelion 시스템은 Transport for NSW를 포함하여 전 세계 조직이 파일을 공유하고 저장하는데 널리 사용되았으며 Accelion 서버에 대한 공격이 중단되기 전에 일부 Transport for NSW 정보가 취해졌습니다." 라고 말했다.
출처 https://thehackernews.com/2021/02/hackers-exploit-accellion-zero-days-in.html |
