マイクロソフトとSysAidがClopマルウェアの脆弱性を発見

11月8日、イスラエルに拠点を置くITサービス管理ソフトウェア企業SysAidは、自社のオンプレミスソフトウェアに悪用される可能性のあるゼロデイ脆弱性が存在することを報告しました。オンプレミスサーバーをご利用のユーザーには、修正プログラムを含むバージョン23.3.36へのアップグレードが推奨されていました。Microsoft Threat Intelligenceがこの脅威を分析した結果、Lace Tempestがこれを悪用していたことが判明しました。

この脆弱性は、Clopマルウェアを拡散する脅威グループ「Lace Tempest」によって悪用されたと、Microsoft Threat Intelligenceが11月8日にX（旧Twitter）で発表しました。Microsoftのセキュリティ専門家は、「…Lace Tempestは、このアクセス権限を利用してデータを盗み出し、Clopランサムウェアを展開する可能性が高い」と警告しています。

このような攻撃の最終的な目的は、多くの場合、システムを介した横方向の移動、データの盗難、ランサムウェアです。

ジャンプ先:

• Proferoが診断し、SysAidがランサムウェアにパッチを当てた
• このClopの脆弱性から身を守る方法
• Clopマルウェアは、注目を集めた身代金要求に使用されてきた。

Proferoが診断し、SysAidがランサムウェアにパッチを当てた

SysAidは11月2日に潜在的な脆弱性を発見した後、イスラエルに拠点を置く迅速インシデント対応会社Proferoに連絡し、脆弱性の詳細を明らかにしました。Proferoは、攻撃者がパストラバーサルの脆弱性を利用して、WebShellなどのペイロードを含むWARアーカイブをSysAid Tomcat WebサービスのWebルートにアップロードしたことを発見しました。そこから、Lace TempestはGracewireマルウェア用のマルウェアローダーを配信しました。

この脆弱性は、MITRE によって CVE-2023-47246 として記録されました。

このClopの脆弱性から身を守る方法

SysAidは、この脆弱性に関するブログ記事で、侵害の兆候（IOC）と対策のリストを公開しています。組織をこのマルウェアから保護するために、SysAidはパッチのダウンロードの重要性を強調しています。組織は、SysAidサーバー内に攻撃者にとって魅力的な可能性のある情報が保存されていないかを確認し、アクティビティログで不正な動作がないか確認する必要があります。その他の推奨対策としては、SysAidシステムの更新と、SysAidサーバーの徹底的な侵害評価の実施が挙げられます。

Clopマルウェアは、注目を集めた身代金要求に使用されてきた。

SysAidオンプレミスソフトウェアのパストラバーサル脆弱性を悪用して攻撃者が拡散したClopランサムウェアは、2019年に初めて出現しました。Clopマルウェアは、同名のロシア系脅威アクターグループと関連しており、マイクロソフトによると、このグループはLace Tempestと「重複」しているとのことです。2023年6月、マイクロソフトはLace TempestがClopマルウェアを利用した恐喝サイトを運営していることを確認しました。

参照：来年のサイバーセキュリティはどうなる？Google Cloudが2024年に注目すべきサイバーセキュリティのトレンドには、生成型AIベースの攻撃が含まれる（TechRepublic）

Clopランサムウェアグループは、2023年に複数の大規模攻撃の犯行声明を出しました。6月には、ブリティッシュ・エアウェイズ、BBC、そして英国の小売業者Bootsのデータを流出させると脅迫しました。また、5月31日に発見され修正されたMOVEit Transferランサムウェア攻撃にも関与していたとされています。

こちらもご覧ください

• 2023年版 侵入テストツールとソフトウェアのおすすめ8選
• 2023年のサイバーセキュリティ認定資格ベスト6
• ジェネレーティブAIがクラウドセキュリティにもたらすゲームチェンジャー
• https://www.techrepublic.com/resource-library/downloads/ネットワークセキュリティポリシー/
• サイバーセキュリティ：さらに必読の記事