Clopランサムウェア、Cleo製品のゼロデイ使ったデータ窃取攻撃の実施認める(CVE-2024-50623)
BleepingComputer – December 15, 2024
最近報じられたCleo製品のゼロデイ悪用攻撃は、Clopランサムウェアグループ(TA505、Cl0pとも)によって実施されたものだという。Clop自身が、この脆弱性を使って企業ネットワークを侵害し、データを盗んだ旨をBleepingComputer紙に伝えている。
問題の脆弱性CVE-2024-50623は、Cleoのマネージドファイル転送ツールLexiCom、VLTransfer、Harmonyに影響を与えるRCEの脆弱性。10月末にCleoにより開示され、パッチもリリースされたが、12月9日にサイバーセキュリティ企業Huntressが、このパッチは不完全であり、データ窃取攻撃実施のために同パッチをバイパスする脆弱性が悪用されていると報告。その後13日には、米CISAがCVE-2024-50623をKEVカタログ(悪用が確認済みの脆弱性カタログ)に追加し、同脆弱性がランサムウェア攻撃で悪用されていることを確認していた。
関連記事:ファイル転送ツールが再び大規模ハッキング試みるハッカーの標的に:Cleo製品のRCE脆弱性が悪用される(CVE-2024-50623)
これまで、Cleo製品を狙ってこの脆弱性を悪用する攻撃の首謀者は新たなランサムウェアグループ「Termite」ではないかと考えられていたが、BleepingComputerがClopに接触したところ、Clopは「CLEOについては、(以前のcleoも含めて)我々のプロジェクトだ – そしてこのプロジェクトは無事に完了された」と返答。CVE-2024-50623についてもHuntressが発見したもう一つの脆弱性※についても、悪用は自らによるものだと認めたという。
(※Update)悪用されているもう一つの脆弱性には、CVE-2024-55956というCVEが割り当てられた。ただ、CVE-2024-50623とCVE-2024-55956の両方を分析したRapid7の研究者Stephen Fewer氏によれば、後者は前者のパッチをバイパスする脆弱性というわけではないという。同氏は、CVE-2024-55956は認証不要のファイル書き込みの脆弱性で、CVE-2024-50623とは別の根本原因に起因するものだと説明している。(情報源:SecurityWeek)
なお、Huntressの研究者Hammond氏によれば、最近ランサムウェア攻撃に見舞われたソフトウェア企業Blue Yonder(ブルーヨンダー)は、インターネットに露出したCleo製ソフトウェアのインスタンスを有していたという。同社への攻撃についてはTermiteランサムウェアグループが犯行声明を出している上、サイバーセキュリティの専門家の中には、CVE-2024-50623を悪用しているのはTermiteだと考える者も数人いるとされる。ClopとTermiteとの間には何らかの繋がりがある可能性もあるが、BleepingComputerがClopにTermiteとの関係性について質問したところ、返答は返ってこなかったという※。
(※Update)Clopが犯行声明を出しているとはいえ、Rapid7の脅威アナリスト部門シニアディレクターChristiaan Beek氏によれば、複数の脅威アクターがこれらの脆弱性を悪用している可能性もまだ捨てきれないとのこと。(情報源:SecurityWeek)
Cleo製品のゼロデイを用いたデータ窃取攻撃によりどれくらいの数の組織が影響を受けたのかは現時点で不明。また現在までに、Cleo製プラットフォーム経由で不正アクセスを受けたと発表している企業はまだ現れていない模様。
【無料配布中!】ランサムウェアリークサイトの分析レポート
ランサムウェアレポート:『リークサイト統計に見るランサムウェアグループの傾向』
さまざまなランサムウェアグループの過去3年分に及ぶリークサイトデータを弊社アナリストが分析し、ランサムウェアアクターを取り巻くエコシステムの変化を追ったレポート『リークサイト統計に見るランサムウェアグループの傾向』を、以下のバナーより無料でダウンロードいただけます。
<レポートの目次>
- 要点
- 掲載件数:全世界と日本の比較
- グループ別内訳:全世界と日本の比較
✔️特筆すべきトレンド
⚪︎ALPHV / Blackcatが後退、RansomHubが台頭
⚪︎LockBitと8Base
⚪︎Clopは減少も、2023年には急増を観測 - 業界別内訳:全世界と日本の比較