[ad_1]

یک مرد کارتونی از یک قسمت سفید یک و صفر عبور می کند.

مورگان استنلی مورد نقض داده ها قرار گرفت که اطلاعات حساس مشتری را نشان می داد ، و این آخرین قربانی شناخته شده هکرها بود که از یک سری آسیب پذیری های قبلاً بهره برداری شده در Accellion FTA ، سرویس پرکاربرد انتقال فایل شخص ثالث استفاده کردند.

مورگان استنلی در نامه ای که اولین بار توسط Bleeping Computer گزارش شده است ، گفت: این داده ها شامل نام ، آدرس ، تاریخ تولد ، شماره های تأمین اجتماعی و نام های مرتبط با شرکت های سازمانی است. در آن زمان ، داده ها دارای سرویس شخص ثالثی به نام Guidehouse بودند ، که خدمات خدمات مالی را به حساب های خدمات مالی شرکت ارائه می داد. هکرهای ناشناخته این داده ها را با استفاده از یک سری هک منتشر شده در دسامبر و ژانویه به دست آوردند.

چه چیزی طولانی شد؟

مورگان استنلی گفت:

به گفته گیدهاوس ، آسیب پذیری Accellion FTA که منجر به این حادثه شد ، در ژانویه 2021 و در عرض 5 روز از وصله اصلاح شد. اگرچه داده ها در آن زمان توسط یک شخص غیر مجاز دریافت شده بود ، ارائه دهنده حمله را تا مارس 2021 کشف نکرد و تأثیر آن بر روی مورگان استنلی را تا ماه مه 2021 به دلیل دشواری تعیین عطف به ماسبق تشخیص داد که کدام پرونده ها در Accellion FTA ذخیره شده است. دستگاه وقتی دستگاه آسیب پذیر بود راهنمای خانه به مورگان استنلی اطلاع داد که هیچ مدرکی در مورد انتشار داده های مورگان استنلی فراتر از تهدید پیدا نکرده است.

مقامات راهنمای خانه بلافاصله به ایمیلی پاسخ ندادند که چرا این مدت طولانی طول کشید تا شرکت تخلف را کشف کرد ، به مشتریان اطلاع داد و متوجه شد که سایر مشتریان Guidehouse نیز به خطر افتاده اند. در صورت پاسخ پس از ارسال ، این پست به روز خواهد شد.

مشتریان Accellion از File Transfer Appliance به عنوان جایگزینی مطمئن برای ارسال ایمیل به پرونده های بزرگ داده استفاده می کنند. به جای دریافت پیوست ، گیرندگان ایمیل پیوندهایی به پرونده های میزبان دارایی های ثابت دریافت می کنند ، سپس می توانند بارگیری شوند. اگرچه این محصول تقریباً 20 ساله است و Accellion مشتریان را به محصول جدیدتری منتقل می کند ، دارایی های ثابت ارثی هنوز هم توسط صدها سازمان در بخش های مالی ، دولتی و بیمه استفاده می شود.

Cl1p Cl0p

طبق یک مطالعه Accellion که توسط شرکت امنیتی Mandiant سفارش داده شد ، هکرهای ناشناخته با استفاده از این آسیب پذیری ها یک پوسته وب را نصب کردند که به آنها یک رابط مبتنی بر متن برای نصب بدافزار و صدور دستورات دیگر در شبکه های در معرض خطر می دهد. Mandiant همچنین گفت که بسیاری از سازمان های هک شده بعداً درخواست اخاذی دریافت کردند که تهدید به انتشار اطلاعات سرقت شده در یک وب سایت تاریک مرتبط با گروه باج Cl0p مگر اینکه آنها باج پرداخت کنند.

اولین فعالیت شناسایی شده در مبارزات هکری اواسط ماه دسامبر بود ، زمانی که Mandiant هکرهایی را شناسایی کرد که از آسیب پذیری تزریق SQL در Accellion FTA استفاده می کنند. بهره برداری به عنوان یک نقطه شروع برای نفوذ است. با گذشت زمان ، مهاجمان از آسیب پذیری های اضافی FTA استفاده کردند تا کنترل کافی برای نصب پوسته وب را بدست آورند.

محققان Mandiant نوشتند:

در اواسط دسامبر سال 2020 ، Mandiant به تعدادی از حوادث با استفاده از بسته بندی وب ، که ما آن را DEWMODE می نامیم ، برای فیلتر کردن داده ها از دستگاه های تجارت آزاد Accellion پاسخ داد. Accellion FTA یک برنامه ویژه طراحی شده است که به شرکت امکان انتقال ایمن پرونده های بزرگ را می دهد. فعالیتهای انفجار بر شرکتهای طیف گسترده ای از بخشها و کشورها تأثیر گذاشته است.

در طی این حوادث ، Mandiant بر استفاده کلی از زیرساخت ها و TTP ، از جمله عملکرد دستگاه های تجارت آزاد برای اجرای پوسته وب DEWMODE ، نظارت کرد. Mandiant تصمیم گرفت که یک شرکت کننده مشترک در تهدید ، که اکنون ما آن را به عنوان UNC2546 دنبال می کنیم ، مسئول این فعالیت است. اگرچه جزئیات کامل آسیب پذیری های مورد استفاده برای نصب DEWMODE هنوز در حال تجزیه و تحلیل است ، اما شواهد حاصل از تحقیقات متعدد مشتری ، بسیاری از نقاط اشتراک در فعالیت های UNC2546 را نشان می دهد.

از دیگر سازمانهایی که توسط محققان متضرر شده اند آسیب پذیری دیده اند عبارتند از: شرکت نفت Shell ، شرکت امنیتی Qualys ، تاجر بنزین RaceTrac Petroleum ، شرکت حقوقی بین المللی Jones Day ، حسابرس ایالتی در واشنگتن ، بانک Flagstar ایالات متحده ، دانشگاه های ایالات متحده در استنفورد و دانشگاه از کالیفرنیا و بانک رزرو نیوزلند.

ماه گذشته ، مقامات اوکراین شش شركت وابسته به Cl0p را دستگیر كردند. یک هفته بعد ، وب سایت تاریک اطلاعات منتشر شده را از طریق باج افزار Cl0p منتشر می کرد ، که نشان می دهد گروه اصلی اعضای آن همچنان فعال هستند.

هشدار گسترده ای وجود ندارد

بهره برداری در معرض آسیب پذیری دارایی های ثابت برای اولین بار در اواخر دسامبر کشف شد. این شرکت در ابتدا گفت که به تمام مشتریان آسیب دیده و نقاط ضعف رفع شده را برای روز صفر اعلام کرده است که اجازه حمله را طی 72 ساعت پس از یادگیری می دهد. Mandiant بعداً دو روز صفر اضافی کشف کرد.

در گذشته ، برخی از مشتریان شکایت داشتند که Accellion در ارائه اعلان حملات آسیب پذیری کند عمل کرده است.

مقامات بانک رزرو نیوزلند در ماه مه گفتند: “ما بیش از حد به Accellion ، ارائه دهنده برنامه انتقال پرونده (FTA) اعتماد کرده بودیم تا از هرگونه آسیب پذیری در سیستم آنها هشدار دهیم.” “در این حالت ، اطلاعیه های آنها به ما سیستم آنها را ترک نکرده و بنابراین قبل از تخلف به بانک ذخیره نرسیده است. اخطار قبلی دریافت نکردیم. “

در بیانیه ای ، مورگان استنلی گفت: “محافظت از داده های مشتری از اهمیت بالاتری برخوردار است و موضوعی است که ما آن را بسیار جدی می گیریم. ما در ارتباط نزدیک با راهنما هستیم و اقداماتی را برای کاهش خطرات احتمالی برای مشتریان انجام می دهیم. “

[ad_2]

منبع: tarjome-news.ir