网络安全公司Qualys成为攻击的最新受害者。
几周前,火眼的安全专家指出,黑客组织 FIN11(也称UNC2546)利用Accellion FTA 服务器的多个0day漏洞攻击全球上百家企业。攻击中,黑客通过服务器0day漏洞安装一个名为“DEWMODE”的web shell,再用于下载存储在目标受害者FTA服务器上的相关文件。
目前,FIN11的具体动机尚未明朗。尽管从2021年1月下旬开始,陆续有受害者收到该黑客组织的勒索电子邮件,威胁要将窃取的数据发布在“CL0P^_- LEAKS”(一个洋葱路由的暗网网站)。有趣的是,虽然FIN11正在泄露或是准备泄露受害者的数据,但并没有真实地直接对受害者受感染的系统进行加密。可以说,作为一个向来以经济利益为动机的攻击组织,此次却没有真实地从中获取勒索赎金,也让这次攻击行动动机存疑。
在新南威尔士州交通局和庞巴迪运输集团也传出遭受了攻击的消息后,网络安全公司Qualys似乎成为了最新的狙击目标。
Clop勒索软件运营团伙声称已从Qualys窃取了数据,并在其泄漏站点上共享了被盗文件的屏幕截图,以此作为攻击的证据。
从截图中可以看到,泄露的数据包括了公司发票、采购订单、税务文件和扫描报告。
作为一家全球知名的漏洞管理与合规解决方案公司,Qualys此次卷入攻击事件备受关注。然而从近几年的趋势来看,安全公司被黑客攻击,已然不是新鲜的事情,此前,FireEye、ZoneAlarm等多家安全公司都是攻击的受害者,甚至因为安全公司为其客户提供产品与服务,针对安全公司的攻击也是一种“供应链”式攻击,潜在威胁极大。因此,安全公司如何做好自身安全是一直需要思考的议题。
为了应对攻击,Accellion FTA服务器供应商已经发布了多个安全补丁,并且将在2021年4月30日前淘汰过时的FTA服务器软件。