投资大鳄摩根士丹利成Accellion FTA 服务器被黑事件的又一个受害者

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士

摩根士丹利是一家领先的全球金融服务公司，向全球客户提供投资银行、证券、财富和投资管理服务。该公司的客户包括遍布全球超过41个国家的企业、政府、机构和个人。

Guidehouse 作为第三方供应商，向摩根士丹利公司的 StockPlan Connect 业务提供账户维护服务，它在2021年5月通知摩根士丹利公司称攻击者入侵其 Accellion FTA 服务器，窃取了摩根士丹利股票计划参与者的信息。

1月份，攻击者利用 Accellion FTA 中的一个漏洞攻陷了 Guidehouse 服务器。Guidehouse 公司在3月份获悉该事件，并在5月份发现了对摩根士丹利客户的影响。当时 Guidehouse 公司表示并未发现威胁行动者在互联网传播被盗数据的证据。

摩根士丹利向受影响个人发布数据泄露通知函时表示，”摩根士丹利的应用程序并未发现数据安全泄露。这起事件涉及 Guidehouse 所持有的文件如来自摩根士丹利的加密文件。“

然而，即使被盗文件以加密形式存储在失陷 Guidehouse Accellion FTA 服务器中，但威胁行动者还在攻击中获得解密密钥。

摩根士丹利表示攻击者在此事件中盗取的文档包括：

摩根士丹利公司还表示，从 Guidehouse FTA 服务器盗取的文件中并未包含威胁行动者可用于访问受影响客户金融账户的密码信息或凭证。该公司的一名发言人指出，”保护客户信息是最重要的任务而且我们极度重视。我们正在加紧和 Guidehouse 的联系并且采取措施缓解对客户的潜在风险。“

虽然摩根士丹利公司并未在数据泄露通知函中透露攻击者的身份，但Accellion 公司和 Mandiant 公司在2月份发布的一份联合声明中直接将事件和 FIN11 网络犯罪团伙联系在义气。

Clop 勒索团伙还利用 Accellion FTA 0day 漏洞（在2020年12月披露）从多家公司窃取数据。Accellion 公司表示约300名客户在使用这款已存在20年之久的 FTA 软件，其中受攻击影响的客户近100名。

从1月份开始的统计来看，Accellion FTA 服务器攻击的组织机构包括：能源巨头 Shell、网络安全公司 Qualys、新西兰储备银行、超市巨头 Kroger、华盛顿州审计员办公室 (“SAO”)、澳大利亚证券和投资委员会 (ASIC) 以及多所大学和其它组织机构。

2月份，五眼联盟成员也就这类攻击和勒索活动联合发布安全公告。