Cl0p の MOVEit キャンペーン：160社への侵入は新時代のサイバー攻撃の象徴か？

Cl0p’s MOVEit Campaign Represents a New Era in Cyberattacks

2023/07/06 DarkReading — 6月1日に発見された MOVEit ファイル転送のゼロデイ脆弱性は、6月30日までに少なくとも 160社への侵入に悪用されている。この大規模な恐喝キャンペーンの成功は、ロシア支援のランサムウェア・グループ Cl0p による戦術の進化を象徴している。そして、専門家たちは、ライバルの脅威アクターの注目を集める可能性も高いとしている。MOVEit キャンペーンは、サプライチェーンに対するサイバー攻撃の将来を推測する上で、防衛側の対応方法に関するヒントにもなり得ると、Huntress は指摘している。

これまでのところ、侵入された組織には、Avast の親会社である Gen Digital や、British Airways／Siemens／UCLA などの、国際的なブランドが名を連ねている。Huntress のレポートによると、このランサムウェア・グループは、少なくとも２年間は慎重に開発を進め、いつどこで MOVEit を利用した攻撃を展開するかを綿密に計画し、大規模な攻撃を成功させたという。

ランサムウェアを使わないランサムウェア攻撃

研究者たちが衆目している、いくつかのイノベーションは、Cl0p が以前のエクスプロイトから MOVEit キャンペーンまでの間に行い、他の脅威グループに影響を与える可能性が高いものである。Huntress の Security Threat Researcher である John Hammond は、その一例として、Cl0p はランサムウェアを排除することで、恐喝ビジネスモデルを合理化したことを挙げている。

彼は Dark Reading に、「GoAnywhere MFT や MOVEit Transfer などの、最近の Cl0p の侵害では、ターゲット環境内でランサムウェアは実行されていない。彼らは、厳密にデータを流出させ、盗んだ情報を後の脅迫や恐喝に利用している。なぜファイルを暗号化しなかったのかは不明だ」とコメントしている。

さらい Hammond は、Cl0p がピボットした理由は定かではないが、最終的な目的は、より優れたランサムウェアを構築するための、オーバーヘッドを取り除いたランサムウェア・ビジネスモデルの構築だと指摘する。

彼は、「おそらく、他のサイバー犯罪組織もこれに追随し、経済的な利得という真の目標だけに集中できるようになれば、ランサムウェア・ツールの開発や、より高速なマルウェアの作成は、頓挫するかもしれない」と述べている。

サードパーティのゼロデイ・エクスプロイト・プロバイダー

とはいえ、MOVEit サイバー攻撃の主な動機が金儲けだとするなら、Cl0p は MOVEit のようなエクスプロイトを発見／開発するために、時間とリソースを投資するよりも、はるかに単純なアプローチを選んだと推測される。

Trellix Advanced Research Center の Head of Threat Intelligence である John Fokker は、Dark Reading の取材に対して、同グループはサードパーティからゼロデイを入手したのだと説明している。

彼は、「この特定のサイバー攻撃と脆弱性には、実に興味深いいくつかの側面と要因がある。この脆弱性を発見／理解／悪用するためには、MOVEit プラットフォームに関する広範な調査が必要となる。この脆弱性を発見し、悪用するために必要なスキルセットは、簡単に訓練できるものではなく、業界ではなかなか手に入らないものだ」と説明する。

彼は、これほどまでに詳細なレベルの作戦を実行することは、Cl0p ランサムウェア・グループの通常の行動とは異なると付け加えている。Fokker のチームは、Cl0p はゼロデイ脆弱性の悪用を自ら見つけたのではなく、MOVEit のゼロデイ脆弱性を他者から取得したのではないかという、もう 1 つの手掛かりを持っている。

Fokker は、「このゼロデイ脆弱性とエクスプロイトを、Cl0p が実際に発見したのではなく、サードパーティから入手した可能性が高い。我々は、攻撃やリークの投稿の他の特定の要素などを分析した結果として、中程度の確信を持って信じている」と述べている。

将来のゼロデイ攻撃に対するソフトウェア・サプライチェーンの強化

Proofpoint の Director of Threat Detection である Randy Pargman は、「より巧妙なゼロデイ・サプライチェーン攻撃を阻止するには、ソフトウェア・ベンダーが資金を提供する、堅牢で迅速なバグ報奨金プログラムなど、プロアクティブな取り組みへの投資が必要だ。ベンダーがバグ報奨金に支払う金額と、ゼロデイ研究者が政府やアンダーグラウンド市場から得られる研究費には大きな開きがある。ソフトウェア・ベンダーの最も大きな改善点は、バグ報奨金ハンターが問題を報告しやすくすることであり、研究者を尊重することだ」と述べている。

彼は、「サイバーセキュリティ・コミュニティは、インシデントを退屈なものにするよう集中すべきである。救急隊員は、事故現場に到着したとき、必死に走り回ったりパニックに陥ったりはしない。救急隊員は現場へアクセスして調査を行い、迅速にトリアージを行い、救助を効果的に行うために学んだ手順を、意図的かつストイックに実行する。サイバーセキュリティは、彼らから教訓を得ることができる」とコメントしている。

この記事を要約すると、Cl0p の MOVEit キャンペーンは大成功を収めていますが、その起点となる脆弱性 CVE-2023-34362 は、見つけ出すことが難しいはずであり、外部から購入したと、Huntress は推測しているようです。また、Cl0p は時間をかけて綿密に調査を行い、従来からのランサムウェア機能などを排除し、この脆弱性悪用だけに機能を絞り込んだ攻撃手法を確立し、160 社にもおよぶ被害者を生み出したとのことです。ダークウェブなどのマーケットで、どのような取引が行われているのか、そのあたりは見当が付きませんが、新たなスタイルのサイバー攻撃であることは、確かなようです。