MOVEit の脆弱性 CVE-2023-34362：Clop ランサムウェア攻撃が 257社に達した

Clop: Behind MOVEit Lies a Loud, Adaptable and Persistent Threat Group

2023/07/12 InfoSecurity — MOVEit サイバー攻撃は拡大し続けており、毎日のように数多くの企業が被害者リストに挙げられている。Emsisoft の脅威アナリストである Brett Callow によると、2023年7月11日までに、この攻撃の犠牲となった企業は 257社で、個人は 17,750,524名に上るという。その一方で、この攻撃を行ったとされるランサムウェア・グループ Clop は、リークサイトの被害者リストを更新し続けている。新たに追加されたのは、大手金融会社 (Deutsche Bank／ING Bank／Post Bank) や 25 の米国の学校などだ。

Sophos の Senior Threat Intelligence Analyst である David Wallace は、7月10日に発表された記事で、Clop の背景／活動／TTP (Tactics, Ttechniques and Procedures) などについて深く掘り下げている。

ランサムウェア脅威の担い手である Clop

Cl0p とも表記される Clop は、ロシア語で “bedbug” と訳され、「適応力があり、持続的な害虫」だと Wallace は主張している。この Clopは、2019年に初めて確認され、MITRE によって S0611 として追跡された、CryptoMix ランサムウェア・ファミリーの新しい亜種の名前である。

Clop の背後にいる脅威グループは、ロシア語圏で活動していると思われる、金銭的動機に基づく組織だ。しかし Wallace は、「2022年以前にはロシアとウクライナの両方で活動していたことが分かっている」と述べている。

ランサムウェア・グループ Clop は、TA505 や FIN11 などの様々な脅威グループと関係がある。FBI と CISA からの最近のアドバイザリでは、Clop と TA505 は同一のグループだとみなされているが、他の３つは単に重複しているだけのものであり、FIN11 は TA505 のサブセットであると、Wallace は指摘している。

最近になって Clop は、DarkSide／FIN7 などのグループと協力しており、RaaS (Ransomware as a Service) ツールキットを、POS (Point-Of-Sale) の攻撃や従来からの搾取攻撃で使用している。

知名度の高い ターゲットを好む Clop

Clop が好んで狙うのは、北米／中南米／ヨーロッパ／アジア太平洋地域などの大企業 (年間売上高 $5M 以上) だ。このグループは一般的に、休暇中の被害者を攻撃する。最初に発見されたとき、このグループは主として、フィッシング／総当たり攻撃／既知の脆弱性の悪用に依存していた。

Clop は、被害者が支払いを拒否した場合に、盗み出した重要なデータをリークサイト (Tor の隠しサービス経由でアクセス可能な CL0P^_- LEAKS サイト) に公開すると脅す、「二重の恐喝」戦略を使用する脅威グループの先駆者でもある。

この手口は当初、暗号化したデータの復号化と組み合わせて、被害者に圧力をかける追加的な手段として使われていた。しかし、近頃の Clop など脅威アクターは、データの復号化から完全に離れているようだ。

Wallace によると、このグループは革新的な手法でも知られている。 「たとえば、侵害したサイトの顧客やパートナーにメールを送り、被害者に支払いを迫るよう要求する手口や、大組織をターゲットにした積極的で優先的な手口を最初に使ったのも、このグループである。2020年10月には Software AG に対して、$20M 以上の身代金を要求するという、最初の高額の事例を生み出し、情報セキュリティの歴史に名を刻んでいる。

Progress Software の MOVEit Transfer における、深刻なゼロデイ脆弱性 CVE-2023-34362 の悪用への Clop の関与は、2月の GoAnywhere インシデント／4月の PaperCut インシデントに続き、2023年上半期に Clop が行ったとされる３件目の取り組みである。

Wallace は「これらの取り組みの中には、グループ独自のランサムウェア・ツールの販売や、他のグループとの協力による日和見的なものもある。また、MOVEit のように、グループによる長期的な技術的努力と、改良プロセスの集大成と思われるものもある。特筆すべきは、このグループが、一貫してファイル転送サービスを標的にしていることである」と述べている。

Clop は、2021年に発生した Accellion File Transfer Appliance (FTA) への攻撃に加えて、GoAnywhere／BBC／British Airways／Sony／Siemens Energy／EY／PwC などの、大企業に影響を与えた MOVEit の脆弱性の悪用といった、知名度の高い攻撃に対して定期的に関与している。

MOVEit 攻撃の場合、Clop は被害者との直接の身代金の交渉を試みているようだ。Wallace は、「7月3日の時点で、Sophos は実際に身代金を支払った被害者を把握していない」と述べている。

世界中の多くの政府機関も、MOVEit 攻撃の影響を受けている。しかし Clop は6月中旬に声明を発表し、この攻撃の影響を受けた政府機関に対して、それらの情報を公開する気はないとコメントしている。米国政府は、この脅威グループに関する情報に対して、最高 $10M の懸賞金を提供している。

2月の GoAnywhere と、4月の PaperCut と比べて、今回の MOVEit は桁違いの被害者を生み出しているわけですが、その違いは何処にあるのでしょう？ それぞれの攻撃が、同じレベルのモチベーションで行われたのか、それとも、何らかの試験的な意味があったのか、そんな疑問が湧いてきます。よろしければ、MOVEit で検索も、ご利用ください。