Hatch Bank のデータ侵害：GoAnywhere MFT のゼロデイ脆弱性が悪用された

Hatch Bank discloses data breach after GoAnywhere MFT hack

2023/03/02 BleepingComputer — フィンテック・バンキング Hatch Bank が開示したのは、同社のセキュア・ファイル共有プラットフォーム Fortra GoAnywhere MFT から、約 14万人の顧客の個人情報を、ハッカーが窃取するというデータ侵害に関するものだ。Hatch Bank とは、銀行間サービスへのアクセスを、中小企業に提供するフィンテック企業である。TechCrunch が報じたように、影響を受けた顧客と司法長官事務所に提出されたデータ侵害通知には、ハッカーが GoAnywhere MFT ソフトウェアの脆弱性を悪用して、139,493人の顧客のデータを盗んだと記されている。

Hatch Bank のデータ漏えい通知書には、「2023年1月29日に、Fortra のソフトウェアの脆弱性を悪用したサイバー攻撃が発生した。我々は、2023年2月3日に Fortra からインシデント通知を受け、同社の GoAnywhere サイトに保存されているファイルが、不正アクセスの対象になっていることが判った」と記されている。

Hatch Bank は、盗まれたデータのレビューを実施し、その顧客の名前と社会保障番号が、攻撃者により盗まれたと判断している。同社は、影響を受けた個人に対して、クレジット・モニタリング・サービスを 12ヶ月間にわたり、無料で利用できるようにすると付け加えた。

このインシデントは、GoAnywhere MFT 攻撃によるデータ漏えいが確認された２件目の事例である。１件目の事例は、先月に Community Health Systems (CHS) により公表されている。

GoAnywhere データ侵害を主張する Clop ランサムウェア

Hatch Bank は、どのような脅威アクターが、この攻撃を行ったかは公表していない。しかし、Clop ランサムウェア・ギャングは、BleepingComputer に対して、これらの攻撃を仕掛けたのは同グループであり、130以上の組織からデータを盗んだことを明らかにしている。

同グループは、Fortra のセキュア・ファイル共有プラットフォームである、GoAnywhere MFT のゼロデイ脆弱性を悪用することで、10日間にわたってデータを盗み続けたと述べている。

この脆弱性 CVE-2023-0669 は、リモート・コード実行の脆弱性であり、悪用に成功した脅威アクターは、リモートから法的サーバにアクセスできるようになる。GoAnywhere は顧客に対して、この脆弱性が攻撃で活発に利用されていると、２月上旬に通知している。

同プラットフォームが  2月7日に緊急パッチを受ける前日に、この脆弱性に対するエクスプロイトが一般に公開された。BleepingComputer は、攻撃の背後に自分たちがいるという、Clop の主張を独自には確認することができなかった。また、Fortra からのＥメールの返信も得られなかった。

しかし、Huntress の Threat Intelligence Manager である Joe Slowik が、Clop ランサムウェアを展開することで知られるハッキング・グループ TA505 と、GoAnywhere MFT との関連性を発見した。

Clop は 2020年12月に、Accellion の File Transfer Appliance (FTA) システムのゼロデイ脆弱性を悪用することで、世界中の企業からデータを盗み出すという手口を用いていた。Accellion FTA は、GoAnywhere MFT と同様に、組織と顧客がセキュアにファイルを共有するためのサービスだ。

これらの攻撃の一環として、Clop ランサムウェア・グループは、盗んだデータの流出と交換で $10 million の身代金を要求し、被害者を恐喝しようとした。

Accellion FTA 攻撃は広範囲に被害を及ぼし、Morgan Stanley／Qualys／Shell／Kroger などの、多数の組織から情報が流出している。また、スタンフォード医科大学／コロラド大学／マイアミ大学／カリフォルニア大学などの、世界中の複数の大学も被害を受けた。

GoAnywhere MFT 攻撃の被害者に対して、Clop が同様の身代金を要求しているかどうかは不明だ。しかし、もし彼らが同様の手口をとるなら、今後、彼らのデータ漏えいサイトに盗んだデータが登場するだろう。

GoAnywhere MFT の脆弱性 CVE-2023-0669 を狙う Clop ですが、このブログでも2023/02/10 の「GoAnywhere MFT のゼロデイ脆弱性を悪用：130社からのデータ窃取を Clop が主張」で追いかけていました。今日の記事の文中にある、先月に発生したという Community Health Systems (CHS) のインシデントは見逃していました。今日の記事にある２件目の Hatch Bank で、このデータ侵害が終わるとも思えません。まだまだ、被害が広がりそうな感じがします。