Băng nhóm tống tiền công ty an ninh mạng Qualys bằng cách sử dụng Accellion Exploit

13:43 | 15/03/2021
Thanh Bùi ( Theo The Hacker News)

Công ty bảo mật đám mây cho doanh nghiệp Qualys đã trở thành nạn nhân mới nhất bị vi phạm dữ liệu sau khi lỗ hổng zero-day trên máy chủ Accellion File Transfer Appliance (FTA) của họ bị lợi dụng để lấy cắp các tài liệu kinh doanh nhạy cảm.

Để làm bằng chứng cho việc truy cập vào dữ liệu, tội phạm mạng đứng sau các vụ tấn công gần đây nhắm mục tiêu vào các máy chủ của Accellion FTA đã chia sẻ ảnh chụp màn hình các tệp thuộc về khách hàng của công ty trên một trang web rò rỉ dữ liệu có thể truy cập công khai do băng nhóm CLOP ransomware điều hành.

Xác nhận về vụ việc, Giám đốc An ninh thông tin Qualys Ben Carr cho biết một cuộc điều tra chi tiết "đã xác định được quyền truy cập trái phép vào các tệp được lưu trữ trên máy chủ Accellion FTA" nằm trong môi trường DMZ (khu phi quân sự) được tách biệt với phần còn lại của mạng nội bộ.

Carr nói:"Dựa trên cuộc điều tra này, chúng tôi đã thông báo ngay cho những khách hàng bị ảnh hưởng bởi hành vi truy cập trái phép này. Cuộc điều tra xác nhận rằng việc truy cập trái phép chỉ giới hạn ở máy chủ FTA và không ảnh hưởng đến bất kỳ dịch vụ nào được cung cấp hoặc có quyền truy cập vào dữ liệu khách hàng do nền tảng đám mây Qualys lưu trữ".

Trong tháng 2/2021, Mandiant (nhóm cảnh báo về các mối đe doạ của FireEye, công ty an ninh không gian mạng) đã tiết lộ chi tiết về bốn lỗ hổng zero-day trong ứng dụng FTA đã bị những kẻ đe dọa lợi dụng để thực hiện một chiến dịch đánh cắp dữ liệu và tống tiền trên diện rộng, liên quan đến việc triển khai một web shell có tên DEWMODE trên các mạng mục tiêu nhằm lấy cắp dữ liệu nhạy cảm. Tiếp đó là gửi email tống tiền để đe dọa nạn nhân trả tiền chuộc bằng bitcoin nếu không sẽ bị đăng trên trang web rò rỉ dữ liệu

Trong khi hai lỗ hổng định danh CVE-2021-27101 và CVE-2021-27104 đã được Accellion giải quyết vào ngày 20/12/2020, hai lỗ hổng khác định danh CVE-2021-27102 và CVE-2021-27103 đã được xác định và vá trước đó vào ngày 25/1/2021.

Qualys cho biết họ đã nhận được một cảnh báo về tính toàn vẹn về một cuộc xâm phạm có thể xảy ra vào ngày 24/12/2020, sau hai ngày áp dụng bản vá ban đầu. Công ty không cho biết liệu họ có nhận được tin nhắn tống tiền sau vi phạm hay không, nhưng họ cho biết một cuộc điều tra về vụ việc đang được tiến hành.

Mandiant cho biết trong một đánh giá bảo mật của phần mềm FTA được công bố vào đầu tháng 3/2021: "Các lỗ hổng bị khai thác có mức độ nghiêm trọng vì chúng bị khai thác thông qua thực thi mã từ xa không được xác thực".

Ngoài ra, phân tích mã nguồn của Mandiant đã phát hiện thêm hai lỗ hổng bảo mật chưa từng được biết đến trước đây trong phần mềm FTA. Cả hai đều đã được sửa trong một bản vá được phát hành vào ngày 01/3/2021. Lỗ hổng định danh CVE-2021-27730 có số điểm CVSS 6,6 có thể truy cập được đối với những người dùng đã xác thực có đặc quyền quản trị. Một lỗ hổng tập lệnh trên nhiều trang web được lưu trữ có điểm CVSS 8.1 định danh CVE-2021-27731 chỉ người dùng đã được xác thực thường xuyên mới có thể truy cập được.

Công ty con thuộc sở hữu của FireEye đang theo dõi hoạt động khai thác và kế hoạch tống tiền tiếp theo, theo hai nhóm mối đe dọa riêng biệt được gọi là UNC2546 và UNC2582. Sự đan xen được xác định giữa hai nhóm và các cuộc tấn công trước đó được thực hiện bởi một kẻ đe dọa có động cơ tài chính có tên FIN11. Nhưng vẫn chưa rõ mối liên hệ nào, nếu có, hai cụm này có thể có liên quan với những người điều hành ransomware Clop.