網(wǎng)絡(luò)安全公司Qualys成為攻擊的最新受害者。

幾周前，火眼的安全專家指出，黑客組織 FIN11(也稱UNC2546)利用Accellion FTA 服務(wù)器的多個0day漏洞攻擊全球上百家企業(yè)。攻擊中，黑客通過服務(wù)器0day漏洞安裝一個名為“DEWMODE”的web shell，再用于下載存儲在目標受害者FTA服務(wù)器上的相關(guān)文件。

目前，F(xiàn)IN11的具體動機尚未明朗。盡管從2021年1月下旬開始，陸續(xù)有受害者收到該黑客組織的勒索電子郵件，威脅要將竊取的數(shù)據(jù)發(fā)布在“CL0P^_- LEAKS”(一個洋蔥路由的暗網(wǎng)網(wǎng)站)。有趣的是，雖然FIN11正在泄露或是準備泄露受害者的數(shù)據(jù)，但并沒有真實地直接對受害者受感染的系統(tǒng)進行加密。可以說，作為一個向來以經(jīng)濟利益為動機的攻擊組織，此次卻沒有真實地從中獲取勒索贖金，也讓這次攻擊行動動機存疑。

在新南威爾士州交通局和龐巴迪運輸集團也傳出遭受了攻擊的消息后，網(wǎng)絡(luò)安全公司Qualys似乎成為了最新的狙擊目標。

Clop勒索軟件運營團伙聲稱已從Qualys竊取了數(shù)據(jù)，并在其泄漏站點上共享了被盜文件的屏幕截圖，以此作為攻擊的證據(jù)。

從截圖中可以看到，泄露的數(shù)據(jù)包括了公司發(fā)票、采購訂單、稅務(wù)文件和掃描報告。

作為一家全球知名的漏洞管理與合規(guī)解決方案公司，Qualys此次卷入攻擊事件備受關(guān)注。然而從近幾年的趨勢來看，安全公司被黑客攻擊，已然不是新鮮的事情，此前，F(xiàn)ireEye、ZoneAlarm等多家安全公司都是攻擊的受害者，甚至因為安全公司為其客戶提供產(chǎn)品與服務(wù)，針對安全公司的攻擊也是一種“供應(yīng)鏈”式攻擊，潛在威脅極大。因此，安全公司如何做好自身安全是一直需要思考的議題。

為了應(yīng)對攻擊，Accellion FTA 服務(wù)器供應(yīng)商已經(jīng)發(fā)布了多個安全補丁，并且將在2021年4月30日前淘汰過時的FTA服務(wù)器軟件。

參考來源：securityaffairs