「MOVEit Transfer」の脆弱性、脅迫グループが悪用か

ファイル転送ソリューション「MOVEit Transfer」にゼロデイ脆弱性「CVE-2023-34362」が見つかった問題で、データを窃取して脅迫を行うグループが攻撃に悪用している可能性があることがわかった。

Mandiantが、インシデント調査を通じて得た情報を明らかにしたもの。同社が把握している攻撃の痕跡としては、現地時間5月27日の攻撃がもっとも早いものだとしている。

脆弱性を攻撃してC＃ベースのウェブシェル「LEMURLOOT」を設置、データを窃取していた。なかにはウェブシェルの設置からわずか数分後よりデータを盗み出すケースもあり、大量のファイルが送信されたケースも複数確認しているという。

「LEMURLOOT」のサンプルは5月28日にVirusTotalへアップロードされたが、イタリア、パキスタン、ドイツなど、さらにいくつかの国からパブリックリポジトリに「LEMURLOOT」のサンプルがアップロードされており、これら地域で被害が発生している可能性があるとしている。

また攻撃に関与したグループに関しては、米国、カナダ、インドなどをターゲットとして活動を展開する「UNC4857」が関与しているものと分析。

明確な関係性を示す十分な証拠は見つかっていないものの、攻撃に用いる戦術、技術、手順の点において金銭目的で活動する攻撃グループ「FIN11」との類似性も見られ、被害に遭った組織には、数週間以内に身代金を要求するメールが届く可能性もあると見ている。

（Security NEXT - 2023/06/05 ） ツイート

PR

関連記事

課税調査中に個人情報含む資料を紛失 - 京都市
自治体向け資料に個人情報、図関連データとして内包 - 兵庫県
事務局内情報共有サイト、アクセス制限なく情報流出 - 岩手県
中等教育学校で受験生資料含むUSBメモリを紛失 - 新潟県
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
不正アクセスでトップページ改ざん、外部サイトへ遷移 - 文字起こしサービス会社
図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県
まもなく年末年始、長期休暇前にセキュリティ総点検を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ