メニュー

CL0PによるAccellion FTAの脆弱性利用事件メモ

2021年3月5日 - ransom
CL0PによるAccellion FTAの脆弱性利用事件メモ

■概要

ランサム犯罪者グループCL0Pにより大容量ファイル転送アプライアンスAccellion FTA(以下、FTA)の0dayの脆弱性を悪用された攻撃と脅迫が観測されています。2021年2月22日のFireEyeの発表によると 2020年12月と2021年1月に世界中の約100社が攻撃を受けていると発表されました。2021年1月12日付けのAccellionのプレスリリースでは影響を受けた50未満の顧客にパッチをリリースしたと記載されていますが、同日のAccellionのプレスリリースでは、初期フォレンジックの結果、合計約300のFTAの顧客のうち100未満が攻撃の犠牲となり、25未満が重大なデータ窃取が行なわれたと記載されていました。この25未満の顧客の一部は既にCL0Pによる脅迫を受けていることが明らかになっています。

攻撃では、脆弱性を利用してFTAを攻撃し、DEWMODEという名前のWebシェルをインストールし、FTA内に保存されているファイルを盗み出したとされています。

*CL0Pを含む標的型ランサムグループの2020年10月31日までに筆者が確認した状況についてはこちらをご覧ください。

 

■Accellionのリリース

このエントリ執筆時点で確認できているAccellionによるリリースは以下の通り。

日付 リリースタイトル
01月12日 ACCELLION RESPONDS TO RECENT FTA SECURITY INCIDENT
02月01日 ACCELLION PROVIDES UPDATE TO RECENT FTA SECURITY INCIDENT
02月22日 ACCELLION PROVIDES UPDATE TO FTA SECURITY INCIDENT FOLLOWING  MANDIANT’S PRELIMINARY FINDINGS
03月1日 MANDIANT ISSUES FINAL REPORT REGARDING ACCELLION FTA ATTACK

 

■脆弱性

これらを受け、予約されたCVEは以下の通りです。

 

■FireEyeのレポート

FireEyeのレポートによると影響を受けたデバイスからApacheとシステムログの調査により、SQLインジェクションの脆弱性を利用し、DEWMODEが書き込まれたと記載されています。DEWMODEは、FTA上のMySQLデータベースから使用可能なファイルを列挙し、それに対応するメタデータ(ファイルID、パス、ファイル名など)をHTMLページにリストします。これを通じてファイルをダウンロードしたとされているのですが、作りから考えるとDEWMODEはこの攻撃のためにカスタムされたWebシェルの可能性があるのではないでしょうか。

 

■被害公表組織

下表はFTAの脆弱性に起因する被害を公表している組織とそのリリースです。(年は全て2021年)中にはCL0Pによるリークが既になされている組織もありますが、下表の組織に対する攻撃がすべてCL0Pによるものかは不明です。結果的には攻撃から脅迫まですべて同じ攻撃者である可能性はあるものの、FireEyeのレポートではCL0P、脆弱性を利用し攻撃をした攻撃者、メールによる脅迫を行った攻撃者を区別しています。

初報日付 組織名 リリース
01月10日 Reserve Bank Of
NewZealand
Reserve Bank responding to illegal breach of data system

Reserve Bank response to illegal breach of data system

Reserve Bank of New Zealand committed to action as it responds to data breach

Reserve Bank of New Zealand making good progress on addressing data breach

Our response to Data Breach

01月15日 Australian Securities and Investments Commission Accellion cyber incident
02月01日 Office of the Washington State Auditor Third-party service provider’s security incident compromised Washingtonians’ personal information

About the Accellion data security breach

02月09日 The University of Colorado Dear CU Community Members

Accellion Cyberattack

About the Accellion Cyberattack

2月11日 Singtel Media Statement relating to Accellion’s FTA Security Incident

Singtel addresses data breach, moves to support affected stakeholder

ABOUT ACCELLION FTA SECURITY INCIDENT

2月11日 QIMR Berghofer Medical Research Institute QIMR Berghofer investigates suspected Accellion data breach
2月12日 Fguro CYBER SECURITY INCIDENT THIRD-PARTY SUPPLIER OF FUGRO
02月19日 Kroger Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers

Information About the Accellion Incident

02月23日 Bombardier Bombardier Statement on Cybersecurity Breach
02月23日 Transport for NSW Transport for NSW impacted by the worldwide Accellion data breach
03月03日 Qualys Qualys Update on Accellion FTA Security Incident(Release)

Qualys Update on Accellion FTA Security Incident(Blog)

03月05日 (*1) Flagstar Bank Accellion Incident Information Center
03月03日 University of Miami Notice to the University of Miami community regarding a data security incident
03月16日 Royal Dutch Shell THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL
03月31日 University of California UC Email Security Incident
04月02日 Stanford University Message to Stanford community on cybersecurity incidentMessage to Stanford community on cybersecurity incident
Statement on the School of Medicine Cybersecurity Incident
確認中 RaceTrac ACCELLION INCIDENT

 

■事例

前述の通りいくつかの組織がAccellionの脆弱性を利用され、リリースを公開しています。その中でも比較的リリースが詳細で、かつ、脅迫を受けていることも公表しているシンガポール・テレコム(以下、Sigtel)のタイムラインを以下に紹介します。以下のタイムラインはSigtelがリリース内で公開している情報をベースに報道や自身で観測した情報を加味して作成したものになります。

日付 内容
2020年 11月30日 Accellion、FTAのサポート終了スケジュールを発表
12月23日 Accellion、Singtelを含むユーザに脆弱性を通知し、一連のパッチを提供
12月24日 Singtel、パッチを適用(提供されたものの一部)
12月27日 Singtel、残りのパッチを適用
2021年 01月23日 これまでに提供されたパッチは脆弱性を修正できないものであったためSingtelはFTAをオフラインにする
01月30日 Accellionが別のパッチをリリース、Singtelにて適用時、アラート発生

調査により1月20日に侵害があったことが判明

02月09日 Singtel、ファイルの流出を確認
02月11日 Singtel、FATに関するインシデントを公表
02月15日 CL0P、リークサイトに公表

(日本時間で左記日付の19:54時点で公表を確認)

02月17日 Singtel、データ侵害に関するリリースを公表

 

上表、2021年02月17日のリリース内で窃取されたことが確認されているデータとその件数は以下の通り。

情報種別 件数
NRIC(*25)を含むの顧客の個人情報(名前、生年月日、携帯電話番号、住所の組み合わせ) 約129,000人
Singtelの元従業員の銀行口座の詳細 28人
Singtelモバイル回線を使用する法人顧客スタッフのクレジットカードの詳細 45人
企業のいくつかの情報 23件

 

■攻撃者からの被害組織の関係者や顧客、メディアへの連絡

Bleeping Computerが2021年03月26日に報じていますが、CL0Pは、窃取したデータのリークについて関係者やメディアにその事実を知らせるメールを送信したそうです。カナダのケベック州に本部を置く、輸送用機器製造の「BOMBARDIER」のサンプルリークの1週間後、CL0Pはあるジャーナリストにリークの事実をあるジャーナリストに知らせています。しかし、望んだ効果(金銭の支払い)が得られなかったのか次にCL0Pは、「BOMBARDIER」の顧客に対してリークの事実を知らせるメールを送信したそうです。このような手法は、他のAccellion FTAの脆弱性を悪用された被害組織の関係者に対して行われているようで、例えば、下図のようにカリフォルニア大学が運営している「UCnet」というサイトでも注意喚起がされています。

しばしば、CL0Pに限らず、ランサム攻撃者は、身代金交渉の連絡をしてこなかったり、身代金の支払いに応じない被害組織に対してDDoSやVoIPを通じた連絡により支払いを促すということを行ってきましたが、これらと同様に被害組織の関係者や顧客、メディアに対して事実を通知することにより被害組織に圧力をかけようとしているのでしょう。これがどれほどの効果があるかは分かりませんが、結果次第では今後も継続して見られる手法となっていくかもしれません。

 

■コメント

攻撃者はCL0Pですのでいわゆる二重脅迫と思いがちかもしれませんが、Accellion関連の攻撃はランサムウェアに感染させ、ファイルの暗号化などを用いてシステムをロックし、復旧、復元させたるために金銭を要求するという手段は用いていないようで、盗んだファイルのリークに関しての脅迫をしているという点は、これまでの攻撃、脅迫とは異なります。下表は、これまで(2020年03月04日時点)確認できたCL0Pのリーク数を表しています。

FTAの影響も受けてCL0Pのリーク数は以前に比べ、先月、今月とハイペースとなっているため今後も同様の被害の公表がされる可能性が考えられます。

 

2021年04月03日追記:

前述の通り2021年03月05日時点ではCL0Pのリーク数は2月に9件、3月で5件とこれまでのペースを上回ってきていました。最終的に2021年03月31日には下表のように21件と、これまでにない件数となりました。

 

 


 

(*1) FAQの公開日が記載されていなかったためFlagstar Bankのカスタマーサポートに問い合わせた結果判明。

 

■更新履歴

・2021年04月11日 被害公表組織に「RaceTrac」を追加

・2021年04月05日 コメント追記

・2021年04月03日 被害公表組織に「University of California」「Stanford University」を追加

・2021年03月30日 被害公表組織「Reserve Bank Of NewZealand」のリリースに「Our response to Data Breach」を追加

・2021年03月29日 被害公表組織に「Royal Dutch Shell」を追加

・2021年03月26日 被害公表組織に「University of Miami」を追加

・2021年03月10日 FAQ公表日を「Flagstar Bank」に問い合わせた結果を反映

・2021年03月09日 被害公表組織に「Flagstar Bank」を追加

・2021年03月06日 被害公表組織の文言修正

・2021年03月05日 初版公開