モルガンスタンレーは、AccellionFTAハッキングに起因するデータ侵害を開示しています

by PCJISAKUTECH
0 comment


Morgan Stanleyは、機密性の高い顧客データを公開するデータ侵害に見舞われ、広く使用されているサードパーティのファイル転送サービスであるAccellionFTAの一連のパッチが適用された脆弱性を悪用するハッカーの最新の犠牲者になりました。

得られたデータには、名前、住所、社会保障番号、関連会社名が含まれていると、モルガン・スタンレーは次のように述べています。 文字 最初に報告された Bleeping Computer。 当時、金融サービス会社に口座管理サービスを提供するガイドハウスと呼ばれるサードパーティのサービスがデータを所有していました。 未知のハッカーは、 一連のハック それは12月と1月に明るみに出ました。

何がそんなに時間がかかりましたか?

モルガンスタンレーは次のように述べています。

Guidehouseによると、このインシデントの原因となったAccellion FTAの脆弱性は、パッチが利用可能になってから5日以内に2021年1月にパッチが適用されました。 データはその頃に許可されていない個人によって取得されましたが、ベンダーは2021年3月まで攻撃を発見せず、2021年5月までモルガンスタンレーへの影響を発見しませんでした。アプライアンスが脆弱な場合のAccellionFTAアプライアンス。 Guidehouseは、Morgan Stanleyのデータが脅威のアクターを超えて配布されたという証拠は見つからなかったことを、MorganStanleyに通知しました。

ガイドハウスの担当者は、会社が違反を発見し、顧客に通知し、他のガイドハウスの顧客も侵害されているかどうかを発見するのになぜこれほど時間がかかったのかを尋ねる電子メールにすぐに応答しませんでした。 この投稿は、公開後に返信があった場合に更新されます。

Accellionのお客様は、大きなデータファイルを送信するための電子メールの安全な代替手段としてファイル転送アプライアンスを使用しています。 電子メールの受信者は、添付ファイルを受信する代わりに、FTAでホストされているファイルへのリンクを取得します。このファイルはダウンロードできます。 この製品はほぼ20年前のものであり、Accellionは顧客を新しい製品に移行していますが、従来のFTAは、金融、政府、保険の各セクターの何百もの組織で使用されています。

Cl1p Cl0p

による 研究 セキュリティ会社Mandiantから委託されたAccellionは、未知のハッカーが脆弱性を悪用してWebシェルをインストールし、マルウェアをインストールしたり、侵害されたネットワークに他のコマンドを発行したりするためのテキストベースのインターフェイスを提供しました。 Mandiantはまた、ハッキングされた組織の多くは、身代金を支払わない限り、Cl0pランサムウェアグループに所属するダークウェブサイトに盗まれたデータを公開すると脅迫する恐喝の要求を受けたとも述べました。

ハッキングキャンペーンで最初に検出されたアクティビティは、マンディアントがAccellionFTAのSQLインジェクションの脆弱性を悪用しているハッカーを特定した12月中旬に発生しました。 このエクスプロイトは、最初の侵入ポイントとして機能しました。 時間の経過とともに、攻撃者は追加のFTAの脆弱性を悪用して、Webシェルをインストールするのに十分な制御を取得しました。

マンディアントの研究者は次のように書いています。

2020年12月中旬、Mandiantは、DEWMODEと呼ばれるWebシェルを使用してAccellionFTAデバイスからデータを盗み出すという複数のインシデントに対応しました。 Accellion FTAデバイスは、企業が大きなファイルを安全に転送できるように設計された専用のアプリケーションです。 流出活動は、さまざまなセクターや国の事業体に影響を及ぼしています。

これらのインシデント全体で、Mandiantは、DEWMODE Webシェルを展開するためのFTAデバイスの悪用を含む、一般的なインフラストラクチャの使用法とTTPを観察しました。 Mandiantは、UNC2546として現在追跡している一般的な脅威アクターがこの活動の原因であると判断しました。 DEWMODEのインストールに利用された脆弱性の完全な詳細はまだ分析されていますが、複数のクライアント調査からの証拠は、UNC2546のアクティビティに複数の共通点があることを示しています。

研究者が脆弱性によって侵害されたと疑う他の組織には、石油会社Shell、セキュリティ会社Qualys、ガソリン小売業者RaceTrac Petroleum、国際法律事務所Jones Day、ワシントン州監査人、米国銀行Flagstar、米国大学スタンフォード校とカリフォルニア大学が含まれます。ニュージーランド準備銀行。

先月、ウクライナの当局 Cl0p関連会社の容疑者6人を逮捕。 1週間後、Cl0pランサムウェアを介して盗まれたデータを公開するために使用されたダークウェブサイト 新しいトランシェを投稿しました、メンバーのコアグループがアクティブなままであることを示しています。

事前の警告はありません

FTAの脆弱性の実際のエクスプロイトは、12月下旬に最初に検出されました。 会社 最初に言った 影響を受けるすべての顧客に通知し、顧客の学習から72時間以内に攻撃を可能にするゼロデイ脆弱性を修正したこと。 その後、マンディアントはさらに2つのゼロデイ攻撃を発見しました。

一部のお客様は、過去にAccellionが攻撃を受けている脆弱性の通知を提供するのが遅かったと不満を漏らしています。

「私たちは、ファイル転送アプリケーション(FTA)のサプライヤーであるAccellionに依存して、システムの脆弱性を警告していました」とニュージーランドの準備銀行の関係者は述べています。 前記 5月。 「この場合、私たちへの通知はシステムを離れなかったため、違反の前に準備銀行に届きませんでした。 事前の警告はありませんでした。」

モルガンスタンレーの代表者は声明の中で次のように述べています。「クライアントデータの保護は最も重要であり、私たちが非常に真剣に受け止めていることです。 私たちはガイドハウスと緊密に連絡を取り、クライアントへの潜在的なリスクを軽減するための措置を講じています。」



Source link

You may also like

Leave a Comment