-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ClopによるMOVEit狙ったハッキング、被害組織数が1,000に到達
ClopランサムウェアグループによるMOVEit Transferを狙った大規模ハッキングキャンペーンの被害組織数が、2023年8月25日時点で「1,000」に到達。また、これらの侵害により影響を受ける個人の人数は「6千万人」を突破したという。
MOVEitキャンペーンの被害組織は1,000、影響受ける個人は6千万人超に
MOVEitを狙った大規模ハッキングに関して、サイバーセキュリティ企業Emsisoftは公式なデータ侵害通知や米国証券取引委員会(SEC)へ提出された報告書、Clopのリークサイトなどから被害者に関するデータを集計。すると、2023年8月25日時点で、このキャンペーンにより被害を受けた組織の数は「1,000」、またこれにより影響を受ける個人の人数は「60,144,069」人であったという。なお、今後新たに侵害が明らかになれば、上記の統計値はさらに増加する可能性がある。
既知の被害組織の大半は米国の組織で、その割合は全体の83.9%、次に多いのがドイツで3.6%。これに、カナダ(2.6%)、英国(2.1%)が続いている。また業界別で見ると、金融サービスおよびプロフェッショナルサービス業界(全体の24.3%)と、教育業界(26.0%)が特に大きな被害を受けたという。
フランス雇用センターからは約1,000万人分のデータが漏洩か
上記の中でも、特に被害規模の多いものでは1組織だけで数百〜数千万人もの個人のデータが漏洩した可能性がある。うち最も被害人数が多いと考えられるのが、米国やオーストラリア、カナダ、英国の政府機関にサービスを提供するプロバイダーのMaximus社で、侵害による影響を受ける個人は最大で1,100万人に上るという。
また先週新たに発覚したフランス雇用センターでの侵害では、求職者1,000万人分のデータが盗まれた可能性があるとされる。職業紹介や失業保険の給付などを担う同政府機関が公表したところによると、2022年2月に雇用センターに登録した求職者や、過去に同センターを利用していた人々の個人データが盗まれた恐れがあるという。
ClopによるMOVEitキャンペーン、これまでの経緯
参考までにClopによるMOVEitハッキングキャンペーンを振り返ると、大まかな流れは以下に示す通り。
・5月31日、MOVEIt Transferにおける重大なSQLインジェクションの脆弱性CVE-2023-34362に対するパッチとアドバイザリを提供元のProgress Softwareがリリース。
・6月1日、CVE-2023-34362がゼロデイ脆弱性として大規模に悪用されているとBleepingComputerが報道。この時点で何者がこの悪用に背後にいるのかは不明だった。
・6月5日、同キャンペーンはClopランサムウェアによるものとの見解をマイクロソフトがツイート。同日にBleepingComputerは、Clop自身がこの攻撃への関与を認め、数百もの組織を侵害したと主張していると報道。
関連記事:Clopランサムウェア、MOVEit Transferの脆弱性を悪用しデータを盗み出す:CVE-2023-34362
・6月6日、Clopが自らのダークウェブサイト上に犯行声明を掲載。ハッキングを受けた組織に対し、6月14日までに連絡を寄越さなければ組織名をリークサイト上に公開すると脅迫。
・6月14日、Clopは宣言通りにリークサイトへの組織名の掲載を開始。まず企業13社がリークサイトに追加された。その後同サイト上の被害組織数は増えていくことになる。
・7月中旬、Clopはクリアウェブ版リークサイトでの恐喝を開始。
・8月初頭、Clopはトレントサイトでの恐喝を開始。この戦術は現在も使用され続けているとみられる。
(情報源:SecurityWeek “Nearly 1,000 Organizations, 60 Million Individuals Impacted by MOVEit Hack”、Emsisoft “Unpacking the MOVEit Breach: Statistics and Analysis”、BleepingComputer “Data breach at French govt agency exposes info of 10 million people”)
8月26,27日:その他の注目ニュース
Kroll社員へのSIMスワッピング攻撃により暗号通貨関連投資企業のデータが流出
Security Affairs – August 26, 2023
セキュリティコンサルティング企業のKrollは、同社の従業員が所有するTモバイルのアカウントを標的にしたSIMスワッピング攻撃により、複数の暗号通貨プラットフォームのユーザー情報が盗まれたことを明らかにした。この攻撃により、BlockFi、FTX、Genesisに関連する破産申立人の個人情報を含むファイルが、脅威アクターによってアクセスされたとのこと。
Krollは暗号資産関連企業BlockFi、FTX、Genesisを含む、影響を受けた組織の進行中の破産手続きを管理している企業。同社は直ちにこのインシデントの調査を開始し、FBIに通知した。また、同社はシステムやアカウントが影響を受けた形跡はないとも指摘しているが、脅威アクターが、盗まれた情報をすでにフィッシング攻撃で悪用しようとしている兆候は複数あるようで、Krollから情報漏洩の通知を直接受け取った数人からは、FTXになりすましたフィッシングメールを受け取ったとの報告が上がっている。
北朝鮮関連のAPTハッカーらが、ManageEngineにおける欠陥を悪用してインターネットインフラプロバイダーをハッキング
SecurityWeek – August 25, 2023
北朝鮮との関連が指摘されている高度持続的脅威(APT)アクターLazarus Groupが、Zoho ManageEngineの脆弱性CVE-2022-47966(CVSSスコア9.8)を悪用してヨーロッパのインターネットバックボーンインフラプロバイダーを侵害していたことが、Cisco Talosのセキュリティ研究者らによって確認された。
この攻撃は2023年初め、CVE-2022-47966を標的とした概念実証(PoC)エクスプロイトコードが公開されてからおよそ5日後に行われた。同脆弱性はサードパーティコンポーネントApache xmlsec(XML Security for Java)で特定されていて、認証なしでのリモートコード実行に悪用される可能性がある。
Lazarusは同脆弱性を悪用して、QuiteRATという新しいRATの亜種を展開しているのを確認されており、Ciscoの研究者らはこれを、Lazarusに関連するMagicRATの派生型だと考えている。QuiteRATはシステム情報を採取して攻撃者のサーバーへ送り、攻撃者から送られるコマンドを実行するもので、同RATにより、攻撃者はさらなるシステム偵察や、Windowsレジストリを変更するコマンドの発行による永続性の獲得、追加のマルウェアの展開を行うことができるようになる。その他にも、MagicRATと比較して同RATのサイズがはるかに小さいことなども特徴として挙げられている。Lazarusは最近の攻撃では、MagicRATの使用をやめ、QuiteRATを使用しているようだ。
なお、CVE-2022-47966を悪用する同キャンペーンでは、上記のプロバイダーのほか、ヨーロッパや米国のヘルスケア関連組織も標的になっていたとのこと。
