Clopランサムウェア、Cleo製品悪用した攻撃の被害者66社を恐喝し始める(CVE-2024-50623) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Clopランサムウェア、Cleo製品悪用した攻撃の被害者66社を恐喝し始める(CVE-2024-50623)

Threat Report

Cl0p

Cleo

clop

Clopランサムウェア、Cleo製品悪用した攻撃の被害者66社を恐喝し始める(CVE-2024-50623)

佐々山 Tacos

佐々山 Tacos

2024.12.25

12月25日:サイバーセキュリティ関連ニュース

Clopランサムウェア、Cleo製品悪用した攻撃の被害者66社を恐喝し始める(CVE-2024-50623)

BleepingComputer – December 24, 2024

Clop(Cl0p)ランサムウェアグループが、Cleo製品に対するデータ窃取攻撃の被害に遭ったとされる66社の恐喝を開始。これらの組織をダークウェブのポータルサイトに掲載し、48時間以内に同グループの要求に応えるよう圧力をかけている。

被害組織に対する攻撃は、Cleoのマネージドファイル転送ツールLexiCom、VLTransfer、Harmonyに影響を与える脆弱性(CVE-2024-50623、CVE-2024-55956)を悪用して行われたとされている。CVE-2024-50623は今年10月30日に開示されたRCEの脆弱性で、12月9日には、攻撃で悪用されていることがHuntress社により明かされていた。その数日後、ClopがBleepingComputerからの取材に対し、この悪用は自らによるものだと返答。加えて、Cleo製品への攻撃よりも前に行われた攻撃の被害者についてはすべてリークサイトから削除し、今後は新たな被害者の恐喝に専念するとも述べていた。

詳しくはこちらの記事で:

そして24日、Clopはこの新たな攻撃の被害者とされる66社をリークサイトに掲載。併せて身代金交渉用のチャットチャンネルへのリンクおよびメールアドレスを提供した上で、これらの企業に対し、今後も無視を決め込むのであれば48時間以内に被害企業のフルネームを公開すると脅している(現時点では社名の一部が伏せられている状態)。なお、今回掲載されたのはClopからのメッセージに返答しなかった組織のみとされており、実際に攻撃を受けた企業はさらに多く存在する可能性が示唆されている。現時点で何社が侵害されたのかは不明だが、Cleoによれば、同社製ソフトウェアを使用している組織の数は全世界で4,000以上とのこと。

関連記事:ファイル転送ツールが再び大規模ハッキング試みるハッカーの標的に:Cleo製品のRCE脆弱性が悪用される(CVE-2024-50623)

中国、大手ハイテク組織へのサイバー攻撃は米国の諜報機関によるものと指摘

Securityexpress[.]info – December 24, 2024

中国のCERTは最近、ハイテクセクターの主要な中国組織を狙った2件の大規模なサイバー攻撃について報告。これらの攻撃は、米国の諜報作戦に起因するものと考えられており、攻撃の結果として営業秘密および知的財産が窃取されたという。

今回報告されたインシデントは、以下の2件:

  • 研究機関への攻撃(2024年8月):1件目は、先端材料開発を専門とする研究機関を狙ったもの。同機関の電子文書セキュリティ管理システムにおける脆弱性を突いてソフトウェアアップデート管理サーバーへ不正アクセスした攻撃者は、このシステムを通じて270台以上のデバイスにマルウェアを展開。これが大規模なデータ侵害に繋がり、専有テクノロジーや機密性の高い営業上の情報が漏洩したとされている。
  • Microsoft Exchangeの脆弱性を悪用した攻撃(2023年5月):2件目の攻撃では、スマートエネルギーとデジタル技術の分野で事業を行う著名企業が狙われたとされている。攻撃者はMicrosoft Exchangeの脆弱性を突いて同社のメールサーバーに侵入してマルウェアをインストール。このマルウェアにより、コーポレート通信への継続的なアクセスを獲得すると、侵害されたサーバーを使って同社内の別のシステムにも攻撃を広げた。この結果、30台以上のデバイスが影響を受け、営業秘密などを含む相当量のデータが盗まれたと報告されている。

いずれについても、かなり標的を絞り込んだ技術的に高度な攻撃だったと専門家らは指摘しているとのこと。

【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ