Эксперты установили, кто стоит за атаками на пользователей Accellion FTA

Эксперты установили, кто стоит за атаками на пользователей Accellion FTA

Атаки на ПО для обмена файлами начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion.

Хакеры, стоящие за кибератаками с использованием ПО для обмена файлами Accellion FTA, связаны с известной киберпреступной группировкой FIN11, установили эксперты из FireEye Mandiant.

Атаки на FTA от компании Accellion начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion. В ходе атак злоумышленники эксплуатировали множественные уязвимости в ПО для обмена файлами. Как заявили в компании, все уязвимости были исправлены, и «только 100 из 300 клиентов FTA стали жертвами атаки». Узнав о случившемся, производитель объявил о намерении прекратить поддержку FTA 30 апреля 2021 года.

Специалисты FireEye Mandiant изучили как активность хакеров по эксплуатации уязвимостей в ПО, так и дальнейшее похищение данных его пользователей, и обнаружили связь между атаками, попытками вымогательства, связанными с похищенными данными, и группировкой FIN11.

Преследующая финансовую выгоду группировка FIN11 ранее описывалась как ответвление TA505, занимающееся атаками с использованием вымогательского ПО. Как правило, атаки начинаются с рассылки жертвам фишинговых писем, после чего следует заражение сетей программами-вымогателями FlawedAmmyy или CLOP.

Как пояснили эксперты FireEye Mandiant, злоумышленники получали первоначальный доступ к сетям организаций с помощью SQL-инъекции через уязвимость в FTA. Это дало им возможность получить ключ, используемый вместе с запросом к определенному файлу, выполнить встроенную утилиту Accellion admin.pl и развернуть web-оболочку.

Web-оболочка, получившая название DEWMODE, позволяла злоумышленникам получать список доступных файлов и соответствующие метаданные (идентификатор файла, имя файла, путь, получатель и загрузчик) из базы данных MySQL, а также загружать сами файлы. Спустя несколько недель после кражи данных исследователи безопасности наблюдали попытки вымогательства.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.