Hacker

Kroll のセキュリティ専門家によると、Clop ランサムウェア ギャングは、2021 年以来、MOVEit Transfer マネージド ファイル転送 (MFT) ソリューションのパッチが適用されたゼロデイを悪用する方法を探してきました。

脆弱な MOVEit Transfer インスタンスを標的とした最近の Clop データ盗難攻撃の調査中に、一部のクライアントの侵害されたネットワーク上のログを分析したところ、新しく発見されたLemurLoot Web シェルを展開するためにギャングが使用した方法と一致する悪意のあるアクティビティが発見されました。

「5 月 27 日から 28 日にかけての活動は、最終的に human2.aspx Web シェルの展開につながる自動化された悪用攻撃チェーンであるように見えました。この悪用は、MOVEit Transfer の 2 つの正当なコンポーネント、moveitisapi/moveitisapi.dll と moveitisapi.dll の間の相互作用を中心に行われました。 guestaccess.aspx」とクロール氏は言いました

「クロール氏が影響を受けたクライアントの Microsoft インターネット インフォメーション サービス (IIS) ログを調査したところ、昨年 (2022 年 4 月) に複数のクライアント環境で同様のアクティビティが発生しており、場合によっては 2021 年 7 月にも発生している証拠が見つかりました。」

また、攻撃者は 2022 年 4 月に遡り、おそらく自動ツールを使用して、侵害された MOVEit Transfer サーバーから機密データを収集および抽出する方法をテストしていたことも発見しました。

クロップは2022年4月に被害者の情報を収集
2022 年 4 月に被害者の情報を収集するクロップ (Kroll)

「クロール氏は、2022 年 4 月 27 日、2023 年 5 月 15 ~ 16 日、および 2023 年 5 月 22 日に集合的に発生した MOVEit Transfer の悪用と一致する活動を観察しました。これは、攻撃者がおそらく自動化された手段を介して組織へのアクセスをテストし、MOVEit から情報を引き出していたことを示しています」サーバーを転送して、アクセスしていた組織を特定する」と報告書は明らかにしています。

自動化された悪意のあるアクティビティは、5 月 27 日にゼロデイ バグの大量悪用が始まる直前の 2023 年 5 月 15 日から、より大規模に拡大しました。

これは、2021 年 7 月に MOVEit Transfer サーバーに対して手動で発行された同様のコマンドとも一致しており、ランサムウェア集団が 2023 年 5 月下旬に最後の攻撃を開始するツールを入手するまで待機していたことを示しています。

「数百社」のサーバーが侵害されたとされる

先週末、Clop ランサムウェア集団は Bleepingomputer に対し、「数百の企業」に属するとされる MOVEit Transfer サーバーへの侵入を可能にする最近のデータ盗難攻撃の背後にいたと語った。

攻撃者の言葉を額面どおりに受け取ることはできませんが、クロップ氏の声明は、この攻撃を、同社が追跡しているハッカーグループ「Lace Tempest」(TA505およびFIN11としても知られる)に関連付けているというMicrosoftの報告書を裏付けました。

「マイクロソフトは、CVE-2023-34362 MOVEit Transfer ゼロデイ脆弱性を悪用した攻撃は、ランサムウェア活動とクロップ恐喝サイトの運営で知られるレース テンペストによるものであると考えています」とマイクロソフト脅威インテリジェンス チームは日曜日の夜にツイートしました

「この攻撃者は過去にも同様の脆弱性を利用してデータを盗み、被害者を脅迫しました。」

Clop サイバー犯罪グループは、2020 年 12 月のAccellion FTA サーバーのゼロデイ悪用、2021 年のSolarWinds Serv-U マネージド ファイル転送攻撃、 2023 年 1 月のGoAnywhere MFT ゼロデイ

Clop の MOVEit データ盗難攻撃が検出されて以来、その結果侵害された最初の組織も徐々に表面化し始めており、英国の給与計算および HR ソリューション プロバイダーである Zellis は、一部の顧客にも影響を与える可能性が高いデータ侵害に遭ったと報告しています。

すでに影響を受けたことを認めているゼリスの顧客には、アイルランドのフラッグキャリアであるエアリンガスや英国のフラッグキャリアであるブリティッシュ・エアウェイズなどが含まれる。

クロップ氏は6月14日、影響を受けるすべての組織に対し、6日以内にデータがオンラインに漏洩したくなければ、連絡を取り身代金を交渉するよう脅迫した。

クロップの脅威
クロップ氏、侵害を受けた企業に連絡して身代金を交渉するよう求めている ()