「MOVEit Transfer」の脆弱性、脅迫グループが悪用か

ファイル転送ソリューション「MOVEit Transfer」にゼロデイ脆弱性「CVE-2023-34362」が見つかった問題で、データを窃取して脅迫を行うグループが攻撃に悪用している可能性があることがわかった。

Mandiantが、インシデント調査を通じて得た情報を明らかにしたもの。同社が把握している攻撃の痕跡としては、現地時間5月27日の攻撃がもっとも早いものだとしている。

脆弱性を攻撃してC＃ベースのウェブシェル「LEMURLOOT」を設置、データを窃取していた。なかにはウェブシェルの設置からわずか数分後よりデータを盗み出すケースもあり、大量のファイルが送信されたケースも複数確認しているという。

「LEMURLOOT」のサンプルは5月28日にVirusTotalへアップロードされたが、イタリア、パキスタン、ドイツなど、さらにいくつかの国からパブリックリポジトリに「LEMURLOOT」のサンプルがアップロードされており、これら地域で被害が発生している可能性があるとしている。

また攻撃に関与したグループに関しては、米国、カナダ、インドなどをターゲットとして活動を展開する「UNC4857」が関与しているものと分析。

明確な関係性を示す十分な証拠は見つかっていないものの、攻撃に用いる戦術、技術、手順の点において金銭目的で活動する攻撃グループ「FIN11」との類似性も見られ、被害に遭った組織には、数週間以内に身代金を要求するメールが届く可能性もあると見ている。

（Security NEXT - 2023/06/05 ）ツイート