Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Эксперты установили, кто стоит за атаками на пользователей Accellion FTA

25/02/21

FIN11Хакеры, стоящие за кибератаками с использованием ПО для обмена файлами Accellion FTA, связаны с известной киберпреступной группировкой FIN11, установили эксперты из FireEye Mandiant.

Атаки на FTA от компании Accellion начались в декабре 2020 года и привели к компрометации данных, принадлежащих клиентам Accellion. В ходе атак злоумышленники эксплуатировали множественные уязвимости в ПО для обмена файлами. Как заявили в компании, все уязвимости были исправлены, и «только 100 из 300 клиентов FTA стали жертвами атаки». Узнав о случившемся, производитель объявил о намерении прекратить поддержку FTA 30 апреля 2021 года.

Специалисты FireEye Mandiant изучили как активность хакеров по эксплуатации уязвимостей в ПО, так и дальнейшее похищение данных его пользователей, и обнаружили связь между атаками, попытками вымогательства, связанными с похищенными данными, и группировкой FIN11.

Преследующая финансовую выгоду группировка FIN11 ранее описывалась как ответвление TA505, занимающееся атаками с использованием вымогательского ПО. Как правило, атаки начинаются с рассылки жертвам фишинговых писем, после чего следует заражение сетей программами-вымогателями FlawedAmmyy или CLOP.

Как пояснили эксперты FireEye Mandiant, злоумышленники получали первоначальный доступ к сетям организаций с помощью SQL-инъекции через уязвимость в FTA. Это дало им возможность получить ключ, используемый вместе с запросом к определенному файлу, выполнить встроенную утилиту Accellion admin.pl и развернуть web-оболочку.

Web-оболочка, получившая название DEWMODE, позволяла злоумышленникам получать список доступных файлов и соответствующие метаданные (идентификатор файла, имя файла, путь, получатель и загрузчик) из базы данных MySQL, а также загружать сами файлы. Спустя несколько недель после кражи данных исследователи безопасности наблюдали попытки вымогательства.

Темы:ПреступленияFireEyeAccellion
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...