Бесплатно Экспресс-аудит сайта:

25.02.2021

Эксперты установили, кто стоит за атаками на пользователей Accellion FTA

Хакеры, стоящие за кибератаками с использованием ПО для обмена файлами Accellion FTA, связаны с известной киберпреступной группировкой FIN11, установили эксперты из FireEye Mandiant.

Атаки на FTA от компании Accellion начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion. В ходе атак злоумышленники эксплуатировали множественные уязвимости в ПО для обмена файлами. Как заявили в компании, все уязвимости были исправлены, и «только 100 из 300 клиентов FTA стали жертвами атаки». Узнав о случившемся, производитель объявил о намерении прекратить поддержку FTA 30 апреля 2021 года.

Специалисты FireEye Mandiant изучили как активность хакеров по эксплуатации уязвимостей в ПО, так и дальнейшее похищение данных его пользователей, и обнаружили связь между атаками, попытками вымогательства, связанными с похищенными данными, и группировкой FIN11.

Преследующая финансовую выгоду группировка FIN11 ранее описывалась как ответвление TA505, занимающееся атаками с использованием вымогательского ПО. Как правило, атаки начинаются с рассылки жертвам фишинговых писем, после чего следует заражение сетей программами-вымогателями FlawedAmmyy или CLOP.

Как пояснили эксперты FireEye Mandiant, злоумышленники получали первоначальный доступ к сетям организаций с помощью SQL-инъекции через уязвимость в FTA. Это дало им возможность получить ключ, используемый вместе с запросом к определенному файлу, выполнить встроенную утилиту Accellion admin.pl и развернуть web-оболочку.

Web-оболочка, получившая название DEWMODE, позволяла злоумышленникам получать список доступных файлов и соответствующие метаданные (идентификатор файла, имя файла, путь, получатель и загрузчик) из базы данных MySQL, а также загружать сами файлы. Спустя несколько недель после кражи данных исследователи безопасности наблюдали попытки вымогательства.