Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day
2023/02/10 BleepingComputer — ランサムウェア集団 Clop は、セキュアなファイル転送ツール GoAnywhere MFT のゼロデイ脆弱性を悪用した攻撃により、130以上の組織からデータを盗み出したと主張している。この脆弱性 CVE-2023-0669 の悪用に成功した攻撃者は、インターネットを介して管理コンソールにアクセスできる状態にあり、パッチが適用されていない GoAnywhere MFT (Managed File Transfer) インスタンス上で、リモート・コード実行が可能になっている。
Clop は BleepingComputer に連絡を取り、このバグを標的とした攻撃で脆弱なサーバーを突破した後に、10日間をかけてデータを盗み出したと伝えている。
また Clop は、被害者のネットワークを横方向へと移動し、システムを暗号化するランサムウェアのペイロードを展開することもできたが、それは断念したとも述べている。したがって、侵害された GoAnywhere MFT サーバーに保存されている文書の窃取のみが、今回の被害の範囲となる。
BleepingComputer からの質問として、攻撃が始まった時期/被害者への恐喝/身代金要求などについて尋ねたところ、このギャングは証拠の提出や、主張に関する詳細の共有を拒んだ。
BleepingComputer は、Clop の主張を独自に確認することができなかった。また、Fortra に対しても、脆弱性 CVE-2023-0669 の悪用と、ランサムウェア・グループの主張について質問したが、まだメールは返信されていない。
しかし、Huntress の Threat Intelligence Manager である Joe Slowik は、TrueBot マルウェア・ダウンローダーが展開された攻撃を調査する中で、過去に Crop ランサムウェアを展開した脅威グループ TA505 と、GoAnywhere MFT 攻撃を関連付けている。
Slowik は、「この関連性については、広く認められているものではないが、Truebot の活動や展開メカニズムを分析した結果、TA505 と呼ばれるグループとのリンクが示されている。Clop と呼ばれるランサムウェア・ファミリーに関する、さまざまな組織からの報告では、Silence/Truebot の活動が TA505 の活動にリンクしている」と述べている。
彼は、「これまでの報告をベースにすると、Huntress が観察した活動はランサムウェア展開のためのものであり、同じ目的で GoAnywhere MFT の日和見的な悪用が生じる可能性があると、中程度の確信を持って結論付けることが可能だ」と付け加えている。
セキュアなファイル転送ツールの欠陥を積極的に悪用
GoAnywhere MFT の開発元である Fortra (旧 HelpSystems) は、この脆弱性がゼロデイとして悪用されていることを、先週の段階で顧客に公表した。また、2022年2月6日 (月) の時点で、脆弱なサーバ上で認証なしのリモートコード実行を可能にする、PoC エクスプロイトもオンラインで公開された。
その翌日に同社は、緊急のセキュリティ・アップデートを発表し、攻撃の試みからサーバを保護することが可能になった。そして 2月9日に Fortra は、同社のサポート Web サイト (アクセスにはユーザーアカウントが必要) で、同社の MFTaaS インスタンスの一部も侵入されたとする、別のアップデート情報を公開した。
Fortra は、「未知のエクスプロイトを介して、脅威アクターがシステムにアクセスし、不正なユーザー・アカウントを作成したと判断している。この件への対処の一環として、また、慎重を期すために、一時的なサービス停止を実施した。各環境での緩和策の適用と検証を行いながら、顧客ごとにサービスの回復を続けている。いまは、顧客と伴に、潜在的な影響を評価し、緩和策を適用し、システムを復旧するために、ダイレクトな作業を行っている」と述べている。
金曜日には CISA も、GoAnywhere MFT の脆弱性 CVE-2023-0669 を Known Exploited Vulnerabilities Catalogに追加し、3月3日までの今後3週間以内でパッチ適用を完了するよう連邦機関に命じた。
Shodanによると、1,000以上の GoAnywhere インスタンスがオンラインで公開されている。ただし、ポート 8000 と 8001 (脆弱な管理コンソールが使用するポート) 上に存在するインスタンスは 135 のみとなっている。
Clop の Accellion 強奪攻撃
Clop は GoAnywhere MFT のゼロデイを悪用してデータを盗んだとしているが、2020年12月発生した、Accellion FTA のゼロデイ脆弱性の悪用と、約 100社からのデータ窃取のときと、きわめて似た手口である。
そのときの被害者である各企業には、データが公に流出することを避けるために、$10 million の身代金を支払へとするメールが届いていた。
2020年の Accellion 攻撃では、Clop のオペレーターが同社のレガシー File Transfer Appliance (FTA) を悪用して、有名企業から大量のデータを盗み出した。
Clop にサーバをハッキングされた組織として挙げられるのは、エネルギー大手 Shell/スーパーマーケット大手 Kroger/サイバーセキュリティ企業 Qualys に加えて、世界の複数の大学 (Stanford Medicine/University of Colorado/University of Miami/University of Maryland Baltimore (UMB)/University of California など) などである。
その後の 2021年6月には、Cyclone 作戦と名付けられた国際的な法執行活動が実施され、ランサムウェア Clop にサービスを提供していたマネーロンダラー6人がウクライナで逮捕され、Clop のインフラの一部が停止された。
また、同ギャングは 2019年以降に発生した、世界中のランサムウェア攻撃とも関連している。Clop によりサーバが暗号化された被害者には、Maastricht University/Software AG IT/ExecuPharm/Indiabulls などがある。
Update February 10, 15:25 EST: GoAnywhere MFT 攻撃と Clop ランサムウェアに関するセクションが、Huntress により追加された。
これまでの Clop 関連の記事としては、以下のものがあります。どちらかというと、インフラを狙ってきたランサムウェアですが、今回は GoAnywhere MFT を介した、サプライチェーン攻撃を仕掛けています。手口の進化を感じてしまいますね。
2022/10/28:Raspberry Robin:Clop ランサムウェアを展開
2022/08/16:Clop:英国の水道施設を攻撃
2021/11/26:海運業大手を Clop が攻撃
IoT OT Security News 
You must be logged in to post a comment.