En gruppering som amerikanska cybersäkerhetsföretaget Mandiant har namngett UNC2546 utnyttjar en eller flera nya zeroday-sårbarheter i Accellions produkt File Transfer Appliance (FTA). Denna sårbarhet har bl.a. använts för att exfiltrera information från företaget Qualys. Accellion släppte patchar för att åtgärda bristerna December 21, 2020 och Accellion meddelade att dessa brister upptäcktes eftersom de utnyttjas i en annan kunds miljö. Dock är denna produkt 20 år gammal och Accellion rekommenderar en migrering till Kiteworks som är en ombyggd produkt med ny kodbas.
Även värt att notera att FireEye har identifierat överlappningar mellan UNC2582, UNC2546 och FIN11 som är en välkänd gruppering som utför utpressningsattacker. Genom att utpressade organisationer betalar lösensummor så växer dessa kriminella organisationer större och har möjlighet att köpa in zero-days eller access till system.
Efter att sårbarheterna utnyttjas så laddas ett webbshell vid namn DEWMODE och om du vill hitta signaturer för detta shell så kolla här samt CISA:s alert.
Följande CVE:er har åtgärdats av Accellion:
CVE-2021-27101 – SQL injection via a crafted Host header
CVE-2021-27102 – OS command execution via a local web service call
Uppdaterat 2020-12-15: SolarWinds har i sin 8-K anmälan till US Securities and Exchange Commission angett följande: ”SolarWinds currently believes the actual number of customers that may have had an installation of the Orion products that contained this vulnerability to be fewer than 18,000”. Detta kan betyda att 18000 installationer har genomförts med bakdörren.
Uppdatering 2020-12-16: Bra analys av bakdörren av Qeeqbox.
Uppdatering 2020-12-17: Jag glömde i en tidigare version av detta blogginlägg att länka till källan som bekräftar att det är via SolarWinds som angriparna tog sig in hos FireEye, den källan återfinner du här.
Sent igårkväll så släpptes information om hur FireEye hackades via en så kallad supply-chain attack. Allt tyder på att intrånget genomfördes av APT29, Cozy Bear som är en grupp som kopplas mot ryska staten samt att en mjukvara från SolarWinds användes som intrångsvektor. Förutom FireEye så kunde även APT29 läsa mail under några månader på amerikanska myndigheten U.S. Treasury and Commerce.
APT29 placerade en bakdörr i SolarWinds mjukvara Orion som används för nätverksövervakning någon gång under mars-juni 2020. Den mjukvaran kommunicerade hem till SolarWinds som vanligt men kunde även fjärrstyra datorn som hade bakdörren installerad. Troligtvis genomförds intrånget mot SolarWinds genom deras byggsystem eftersom bakdörren också var signerad med SolarWinds certifikat.
Bland SolarWinds kunder kan man hitta en intressant lista med organisationer:
Bland kunder listas Volvo, Ericsson och Telenor. Oklart om det är just Orion som används av dessa kunder eftersom SolarWinds är ett stort företag med många produkter.
Bakdörren återfanns i filen SolarWinds.Orion.Core.BusinessLayer.dll. Och bl.a. Microsoft Defender kan upptäcka denna bakdörr som Solorigate. Andra namn för bakdörren är även SUNBURST samt operation UNC2452.
Att bakdörren var oupptäckt enbart under några månader beror troligtvis på att angriparna blev giriga och ville komma åt mer information i fler system. När spåren började att nystas upp så pekade de på SolarWinds produkt Orion och att ge sig på FireEye som är specialister på att göra IT-forensiska utredningar är troligtvis en bidragande faktor till att bakdörren inte blev så långlivad.
Intressant i denna historia är också att lokala VPS-anslutningar (virtuella privata servrar) inom landet användes för att inte väcka misstanke mot trafik som går utom landet. Även framhäver FireEye följande som också är intressant:
After a dormant period of up to two weeks, the malware will attempt to resolve a subdomain of avsvmcloud[.]com. The DNS response will return a CNAME record that points to a Command and Control (C2) domain. The C2 traffic to the malicious domains is designed to mimic normal SolarWinds API communications
Kontrollera alltså dina PCAP-filer eller brandväggsloggar efter DNS-uppslag mot avsvmcloud[.]com, förslagsvis under hela 2020. Här är ett exempel när jag söker efter denna information i Moloch (numera Arkime):
KPMG Sverige har tillsammans med FireEye placerat ut 14 stycken enheter enligt nedan skiss. Målet är att undersöka hur många riktade attacker dessa organisationer utsätts för samt om någon exfiltration av information genomförs.
Resultatet av studien visar på att 51% av attackerna är okända sedan tidigare samt att hela 79% av organisationerna fick information exfiltrerad.
Totalt identifierades 195 unika binärer med skadlig kod där 52% av dessa ej identifierades som skadlig kod av de 53 antivirus-leverantörerna som användes.
Att riktade attacker blir vanligare och vanligare är så klart något som framhävts under en längre tid men att så pass många organisationer blir utsatta för skadlig kod som ej upptäcks av anti-virus är så klart anmärkningsvärt.