Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669)

Threat Report

Silobreaker-CyberAlert

Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669)

佐々山 Tacos

佐々山 Tacos

2023.02.13

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年2月11日と12日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張(CVE-2023-0669)

Bleeping Computer – Feb 10 2023 20:15

Clopランサムウェアグループが、GoAnywhere MFTのゼロデイ脆弱性(CVE-2023-0669)を悪用した最近の攻撃の犯行声明を出し、130超の組織からデータを盗んだと主張している。なお問題のゼロデイ脆弱性は、パッチ未適用のGoAnywhere MFTにおいて攻撃者がリモートコード実行を行うのを可能にするもの。

ClopがBleepingComputerに伝えたところによると、同グループはこのゼロデイに対して脆弱なサーバーを侵害した後、10日間の間にデータを盗んだのだという。また、「ラテラルムーブメントやランサムウェアペイロードの展開も可能ではあったが、それは行わずに保存されていたドキュメントを盗むだけにした」とも主張したという。

ただし、同グループは自らの主張を裏付ける証拠や詳しい情報の提供を拒んでいる。そのためClopの主張の真偽は不明だが、Huntressの脅威インテリジェンスマネージャーJoe Slowikは、GoAnywhere MFTを狙う攻撃と、過去にClopランサムウェアを展開していたことで知られる脅威グループ「TA505」との関連を指摘しているとのこと。

なお、Clopによる今回のGoAnywhere MFTのゼロデイを使った攻撃とされるものには、2020年12月に同グループが用いた戦術と非常に似た点が見られるという。この2020年の攻撃では、同グループは、Accellion FTAのゼロデイ脆弱性を発見・悪用し、企業約100社のデータを盗んでいた。

関連記事:Clopランサムウェアグループ、GoAnywhereのゼロデイを悪用した攻撃の被害企業を恐喝し始める(CVE-2023-0669)

A10ネットワークス、Playランサムウェアの攻撃によるデータ侵害の発生を認める

Bleeping Computer – Feb 10 2023 20:30

ハードウェアメーカー「A10ネットワークス」はBleepingComputerの取材に対し、Playランサムウェアグループが同社のITインフラに短時間の間アクセスし、データを侵害していたことを認めた。同社の顧客には、Twitter、LinkedIn、サムスン、Uber、NTTコミュニケーションズ 、ソニー・ピクチャーズ、Windows Azure、Xbox、Yahooなどが含まれる。

先週初めに提出されたForm 8-K(財務関連の臨時報告書)において同社は、1月23日にセキュリティインシデントが発生したことを伝えた。これによると、ITチームが侵入を止めて被害を抑え込むまで、インシデントは数時間続いたとのこと。そして調査の結果、攻撃者が共有ドライブへのアクセスとマルウェアの展開に成功し、人材や財務、および法律関連のデータを侵害していたことが示された。ただ、同社は、このインシデントによる製品やソリューションへの影響はなく、顧客にも影響は及ばなかったと述べている。

一方で、2月9日、Playランサムウェアグループは、A10ネットワークスを自身の恐喝サイトに掲載し、同社に侵入した際に盗んだファイルを「流出させる」と脅迫した。なお同アクターは、秘密ファイル(技術関連文書、従業員および顧客の文書、契約書、個人データを含む)を保有していると主張しているそう。

2023年2月11日

ハイライト

 

MagicWebの謎の深さにより、APTグループNobeliumの技術の高さが浮き彫りに

Dark Reading – Feb 10 2023 18:21

 

新グループTA886、カスタムマルウェアScreenshotterを使い企業を標的に

Security Affairs – Feb 10 2023 14:49

 

KillnetとDeanon Clubのパートナーシップにより生まれたハッキングマーケットプレイスが、親ロシア派アクターへ募金を呼びかけ

SC Magazine US – Feb 10 2023 20:24

 

KillNet、DDoS攻撃で米医療部門を襲う

Malwarebytes Unpacked – Feb 10 2023 19:30

 

米国と英国、マルウェアConti、Ryuk、Trickbotに関連するロシア人に制裁を発動

The Register – Security – Feb 10 2023 07:24

 

1月のトップマルウェアトレンド:Cofense Phishing Defense Center(PDC)

PhishMe – Feb 10 2023 15:12

 

データを盗む前に偵察を行う新型マルウェア「Screenshotter」が登場

Heimdal Security Blog – Feb 10 2023 13:16

 

ランサムウェアの芽を摘む:敵の活動を早期に発見する

BankInfoSecurity – Feb 10 2023 20:09

 

GoAnywhere MFTにおけるゼロデイ脆弱性の悪用とランサムウェア攻撃の関連が指摘される(CVE-2023-0669)

SecurityWeek – Feb 10 2023 12:25

 

GPT-3を使って、1つのコードベースから213件のセキュリティ脆弱性を発見した

Medium Cybersecurity – Feb 11 2023 05:18

 

2023年2月12日

ハイライト

 

Enigma、VectorおよびTgToxic:暗号通貨ユーザーを脅かす新たな脅威

The Hacker News – Feb 11 2023 11:11

 

CISAが復号化ツールを公開後、新たなESXiArgsランサムウェア亜種が出現 

The Hacker News – Feb 11 2023 13:36

 

Cl0p、欠陥に難色を示しつつもLinuxを標的に

Cyware – Feb 11 2023 23:48

 

ランサムウェアグループ「Clop」、GoAnywhere MFTのゼロデイ脆弱性を悪用し130以上の組織を侵害したと主張(CVE-2023-0669)

Security Affairs – Feb 11 2023 17:13

 

ランサムウェアグループ「Play」、自身のリークサイトにA10ネットワークスを掲載

BankInfoSecurity – Feb 11 2023 14:39

 

Remcos RAT がウクライナ政府へのスパイ行為に利用される – CERT-UA が発表

Cyware – Feb 11 2023 23:48

 

赤痢、プライバシー、Gootloader、Bing AI、Vela、Reddit、Bradley Barth – Swn #273

SC Magazine US – Feb 11 2023 08:19

 

GitHubを1か月間ハックしてみた

Medium Cybersecurity – Feb 11 2023 10:43

 

米CISA、Fortra製品GoAnywhere  MFT、Intel製ドライバ、およびTerraMaster製NASデバイスの盛んに悪用される脆弱性を悪用が確認済みの脆弱性カタログに追加(CVE-2023-0669、CVE-2015-2291、CVE-2022-24990)

Security Affairs – Feb 11 2023 10:35

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (11 February 2023), Daily Cyber Alert (12 February 2023)

 

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ