庞巴迪是扩链攻击的最新受害者
Bomardier,加拿大商业和商业飞机的制造商,由于CL0P RansomWare综合管理的黑暗Web泄漏站点出现了宽敞的扩展FTA网络攻击的最新受害者。
该公司描述了“有限的”违规,其中通过第三方文件传输应用程序中的漏洞访问和提取数据的未经授权的一方。它表示,它的Accillion实例正在从其主网络隔离的目的内置的服务器上运行。
“法医分析显示,与员工,客户和供应商有关的个人和其他机密信息受到损害,”该公司在一份声明中表示。“大约有130名位于哥斯达黎加的员工受到影响。Bombardier一直在积极联系客户和其他外部利益攸关方,其数据可能会受到损害。
“正在进行的调查表明未经授权的访问仅限于存储在特定服务器上的数据。制造和客户支持业务尚未受到影响或中断。
“庞巴迪也可以确认公司没有专门针对 - 漏洞利用该应用程序影响了多个组织。庞巴迪将继续评估情况并保持与客户,供应商和员工的密切联系,以及其他利益攸关方。“
迄今为止,20多个组织包括新西兰储备银行,新加坡电信辛特尔和律师事务所琼斯日已经通过扩大攻击背后的集团偷走了数据。
在撰写本文时,Mandiant的取证专家分析表明,该集团共利用了Accellion的FTA产品中的四种常见漏洞和暴露(CVES)。这些都是:CVES 2021-27101,通过精制主机标头进行SQL注射; -27102,操作系统(OS)通过本地Web服务调用执行执行; -27103,通过制作的邮政请求的SSRF;和-27104,通过制作的帖子请求执行OS命令。
在一个声明中确认了所有四个CVES已经修补的声明中确认,但继续强烈推荐所有FTA客户迁移到其新的企业内容防火墙平台,使用新的安全架构和分离使用完全不同的代码库。并保护Devops进程。Kiteworks服务是GDPR和HIPAA兼容,而FEDRAMP为美国用户提供了适度的CUI。
该公司表示,它已经确定了两个不同的受影响的FTA用户群体,但是超过300人的客户,少于100人的攻击受害者,较少于25次遭受任何数据损失。
强制目前正在跟踪扩展攻击者作为UNC2546,随后的敲诈级活动作为UNC 2582,其中两个共享重叠 - 包括IP地址和电子邮件帐户 - 与先前的Fin11或CL0P,操作相关联。
然而,由于任何扩张受害者实际上都是通过CL0P赎金软件本身嵌入的那样,仅仅在CL0P的运营商使用的同一CL0P ^ _-leaks.onion网站上发布的数据,这种关系的确切性质仍然有点模糊。
“FIN11,UNC2546和UNC 2582之间的重叠是引人注目的,但我们继续分别追踪这些集群,同时我们评估其关系的性质,”Mandiant的团队说。
“具体挑战之一是,FIN11重叠的范围仅限于攻击生命周期的后期阶段。UNC2546使用不同的感染矢量和立足点,与Fin11不同,我们没有观察到演员扩展其跨影响网络的存在。因此,我们没有足够的证据来将FTA剥削或数据盗窃敲诈勒索活动归因于FIN11。“
调查攻击继续。