dewmode - RunkIntel

# DEWMODE > [!high] Webshell PHP do TA505 - Exploração Accellion FTA > DEWMODE é um webshell PHP desenvolvido e utilizado pelo grupo **TA505** (FIN11/Cl0p) para explorar vulnerabilidades críticas no Accellion File Transfer Appliance (FTA) em janeiro de 2021. Permitiu exfiltração de dados de dezenas de organizações globais antes que o FTA fosse descontinuado, configurando um dos primeiros ataques de cadeia de suprimentos via appliance legado. ## Visão Geral DEWMODE é um webshell PHP implantado pelo grupo [[ta505]] (rastreado como FIN11 pela Mandiant e UNC2546 pelo mesmo grupo) durante a campanha de exploração em massa do Accellion File Transfer Appliance (FTA) em janeiro de 2021. O Accellion FTA era um appliance legado de transferência de arquivos corporativos, com muitas organizações ainda utilizando versões sem suporte quando o ataque ocorreu. A campanha explorou uma cadeia de quatro vulnerabilidades ([[cve-2021-27101|CVE-2021-27101]], [[cve-2021-27102|CVE-2021-27102]], [[cve-2021-27103|CVE-2021-27103]], [[cve-2021-27104|CVE-2021-27104]]), sendo a principal uma injeção SQL que permitia ao atacante interagir diretamente com o banco de dados MySQL do FTA. O DEWMODE era implantado como arquivo PHP na pasta web-accessible do appliance, funcionando como backdoor persistente. O DEWMODE é notável por ser uma das primeiras ferramentas do [[cl0p]] para exploração de appliances de transferência de arquivos - um padrão que o grupo repetiria em 2023 com o GoAnywhere MFT e o [[lemurloot|LemurLoot]] no MOVEit Transfer. As vítimas incluíram bancos centrais, escritórios de advocacia, universidades e agências governamentais em múltiplos países. ## Como Funciona **Cadeia de exploração do Accellion FTA:** 1. CVE-2021-27101: Injeção SQL no componente `document_root.aspx` do FTA 2. Acesso ao banco de dados MySQL subjacente do appliance 3. Execução de comandos via stored procedures do MySQL 4. Implantação do webshell DEWMODE no diretório web 5. CVE-2021-27104: Execução de comandos OS como root via SSRF **Capacidades do DEWMODE:** - Listagem de arquivos no FTA (incluindo arquivos de usuários e de sistema) - Download de arquivos arbitrários do appliance via parâmetro GET - Execução de comandos arbitrários no sistema operacional subjacente - Interação direta com o banco de dados MySQL (queries, dumps) - Exclusão de logs do FTA para anti-forense **Técnicas de evasão:** - Camuflagem como arquivo legítimo do FTA (nome similar a componentes reais) - Exclusão seletiva de entradas de log após cada operação - Uso de timestamps falsificados nos arquivos implantados ## Attack Flow ```mermaid graph TB A["🎯 Alvo FTA Legado Accellion FTA versões sem suporte"] --> B["💉 SQL Injection CVE-2021-27101 document_root.aspx"] B --> C["🗄️ Acesso MySQL Banco de dados FTA stored proc RCE"] C --> D["📁 Webshell PHP DEWMODE implantado diretório web FTA"] D --> E["📋 Descoberta Listagem de arquivos e usuários do FTA"] E --> F["📤 Exfiltração Download de dados transferidos por usuários"] F --> G["🧹 Anti-Forense Exclusão de logs timestomping"] G --> H["💰 Extorsão Cl0p Dados publicados no site de vazamento TOR"] ``` **Legenda:** [[ta505]] · [[cl0p]] · [[cve-2021-27101|CVE-2021-27101]] · [[t1505-003-web-shell|T1505.003]] · [[t1041-exfiltration-over-c2-channel|T1041]] ## Timeline ```mermaid timeline title DEWMODE - Linha do Tempo 2021-01 : Exploração inicial : TA505 explora Accellion FTA : DEWMODE implantado globalmente 2021-02 : Vítimas notificadas : Accellion confirma zero-days : Patches emergenciais lançados 2021-03 : Mandiant publica análise : FIN11/UNC2546 atribuídos : 4 CVEs documentados 2021-04 : Cl0p site de vazamento : Dados de vítimas publicados : Extorsão sem criptografia 2021-12 : Accellion FTA descontinuado : Migrações para MoveIt Transfer : Cl0p repete o padrão em 2023 ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2021-27101 SQL injection no FTA | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | DEWMODE PHP em diretório web do FTA | | Exfiltração via Canal C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Download de arquivos via HTTP GET | | Timestomp | [[t1070-006-timestomp\|T1070.006]] | Timestamps falsificados nos artefatos | | Data from Local System | [[t1005-data-from-local-system\|T1005]] | Acesso direto a arquivos do FTA | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | Compressão de dados antes da exfiltração | ## Relevância para o Brasil e LATAM A campanha DEWMODE/Accellion FTA teve impacto direto e indireto na América Latina: **Vítimas confirmadas na LATAM:** - Banco central de um país latino-americano confirmado entre as vítimas (nome não divulgado públicamente) - Organizações do setor [[financial|financeiro]] brasileiro utilizavam FTA para troca segura de documentos com parceiros internacionais - Escritórios de advocacia no Brasil com relações de negócios internacionais foram potencialmente afetados **Padrão repetido com maior impacto:** - O [[ta505]] aperfeiçoou a técnica de exploração de appliances de transferência de arquivos entre 2021 e 2023 - O MOVEit Transfer, usado por empresas brasileiras que migraram do Accellion FTA, foi o alvo seguinte com o [[lemurloot|LemurLoot]] em 2023 - A ANPD monitorou a situação e emitiu alertas sobre notificação de exfiltração de dados de brasileiros ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - DEWMODE (TLP:GREEN) > **Arquivos suspeitos no FTA:** > Arquivos PHP não reconhecidos em diretórios web do Accellion FTA > Arquivos com timestamps falsificados (datas anteriores ao deploy) > > **Queries MySQL anômalas:** > Uso de stored procedures para execução de comandos OS > Queries SELECT em tabelas de usuários e arquivos do FTA > > **Tráfego de rede:** > Requisições HTTP GET com parâmetros de download de arquivo incomuns > Exfiltração de grandes volumes para IPs externos não reconhecidos > > **Fonte:** [Mandiant UNC2546 Report](https://www.mandiant.com) · [CISA AA21-055A](https://www.cisa.gov) **Mitigações:** - Migrar imediatamente de Accellion FTA para solução suportada (FTA foi descontinuado em 2021) - Revisar todos os logs de acesso do FTA para evidências de exploração retroativa - Identificar arquivos exfiltrados via análise de logs de download e transferência - Notificar autoridades e titulares de dados conforme exigido pela [[lgpd|LGPD]] ## Referências - [1](https://www.mandiant.com/resources/blog/fin11-email-campaigns-precursor-for-ransomware-data-theft) Mandiant - FIN11 and the Accellion FTA Zero-Days (2021) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-055a) CISA - Exploitation of Accellion File Transfer Appliance (2021) - [3](https://attack.mitre.org/software/S0600/) MITRE ATT&CK - DEWMODE S0600 - [4](https://www.bleepingcomputer.com/news/security/accellion-fta-zero-day-attacks-linked-to-fin11-clop-ransomware/) BleepingComputer - Accellion FTA Zero-Day Attacks Linked to FIN11/Clop (2021) - [5](https://www.crowdstrike.com/blog/accellion-fta-attack-and-the-evolution-of-cl0p/) CrowdStrike - Accellion FTA Attack and Evolution of Cl0p (2021) - [6](https://nvd.nist.gov/vuln/detail/CVE-2021-27101) NVD - CVE-2021-27101 Detail (2021)