Cl0pランサムウェアグループ (TA505) について

ここでは、Cl0ptランサムウェアグループ (TA505)について、2024年1月段階で判明している事をまとめていきます。以下、CISAの「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」、MITREの「TA505」、Canadian Centre for Cyber Securityの「Profile: TA505 / CL0P ransomware」等の情報をメインにまとめています。

Cl0pランサムウェアグループ (TA505)

 Cl0pランサムウェアグループはかつてClopランサムウェアを利用した攻撃を行っていた脅威アクターとなります。TA505と同一という情報が多いことから、以下ではTA505とCl0pランサムウェアグループを同一のものとして扱っています。

 TA505(別名:GRACEFUL SPIDER, Lace Tempest , Spandex Tempest, DEV-0950, FIN11, Evil Corp, GOLD TAHOE, GOLD EVERGREEN, Chimborazo, Hive0065, ATK103)は少なくとも2014年から活動を行っていると思われる脅威アクターになります(Cyfirmaの報告による2008年という説もあります)。TA505は、主に身代金目的で犯行を行っていると思われます。ロシア語を話すグループであり、サービスとしてのランサムウェア (RaaS) を提供しています。

 TA505は、以下のような活動を行っていると思われています。

TA505が悪用する脆弱性

 TA505はCyfirmaの調査によると標的として「Webアプリケーション」関連の脆弱性を悪用することが多いことがわかっています。

(注)Cyfirma「Threat Actor Profile Threat Actor: TA505」より引用

 TA505は直近では、下記のような脆弱性を悪用しています。

TA505が使用するマルウェア

 TA505が使用していたClopランサムウェアはCryptoMixランサムウェアの亜種から進化したものと考えられており、2019年2月に登場しています。TA505は様々なマルウェアを使用しているのが特徴となっています。過去には下記のようなマルウェアを使用していました。

  1. LockBit Ransomware
  2. Dridex
  3. Clop Ransomware
  4. MirrorBlast
  5. Emotet
  6. Fareit
  7. REvil Ransomware
  8. MineBridge
  9. FlawedAmmy RAT
  10. Zloader

さらに世界最大のフィッシングおよびマルウェアSPAMの配信者の 1 つと考えられており、米国に拠点を置く 3,000 以上の組織と 8,000 の世界的な組織を侵害したと推定されています。

 2020 年から 2021 年にかけてのキャンペーンで、Cl0Pランサムウェアグループはいくつかのゼロデイエクスプロイトを使用して、Accellion FTA サーバー(大容量転送サーバ)にサイバー攻撃を掛けました

 2023年1月下旬には、GoAnywhere MFT の脆弱性(CVE-2023-0669)を利用して、130の組織にデータ侵害を行っています。

TA505による被害(MOVEit脆弱性に限定)

 前述のとおり、TA505は2014年から活動していると思われるため、被害も幅広くなっています。そのため、ここでは2023年6月前後に発生した「MOVEit脆弱性(CVE-2023-34362)を悪用した攻撃」のみに限定して記載します。

 

日付内容
2021年Clop Ransomwareグループ(TA505)がMOVEitの脆弱性をテストしていた形跡
2023/05/28Sony Interactive Entertainment Japanにデータ侵害が発生
2023/05/31CVE-2023-34362の公開
2023/05/31BORN (オンタリオ州の周産期、新生児、児童登録機関)にデータ侵害が発生
2023/06/01オレゴン州運輸省にMOVEitを悪用したデータ侵害が発生(2023/06/12と同じ可能性)
2023/06/05エクストリームネットワークス/Zellisがデータ侵害を公表
2023/06/06ABIM(米国内科試験委員会)/Novascotia州(カナダ)がデータ侵害を公表
2023/06/07CISA/FBIがCVE-2023-34362を「Clop Ransomwareによる悪用されている」として「#StopRansomware」に情報を掲載
2023/06/08Ernst & Young (EY)がデータ侵害を公表/HSEがデータ侵害を公表
2023/06/09イリノイ州イノベーション技術庁がデータ侵害を公表
2023/06/12オレゴン州運輸省/Ofcom (英国情報通信庁)にデータ侵害が発生
2023/06/13ミズーリ州がデータ侵害を公表
2023/06/15CISAが「Progress Software Releases Security Advisory for MOVEit Transfer Vulnerability」としてアドバイザリを掲載。CNN/NY Times/Reuter等でニュースになる。
2023/06/15ルイジアナ自動車局(OMV)がデータ侵害を公表(発生した時期は未公表)
2023/06/19PriceWaterhouseCoopers (PwC)がデータ侵害を公表
2023/06/23 PBI Research Servicesの顧客三社(Genworth Financial、Wilton Reassurance、California Public Employees’ Retirement System)がデータ侵害に遭ったことを公表
2023/06/26ヘルスケア事業のWelltok社がデータ侵害に遭い、米国の患者850万人のデータが流出/
ニューヨーク教育省がニューヨーク市の学生4万5000人の個人データが盗まれたと発表
2023/06/27Seimens Energy と Schneider Electricが攻撃される。データ侵害は無し
2023/06/29米国保健福祉省がMOVEit サイバー攻撃の被害を受けたと議会に通知
2023/06/30Union Bank and Trustがデータ侵害に遭ったことを公表
2023/07/02経営コンサルティング会社 Aonがデータ侵害に遭ったことを公表。この影響でダブリン空港の職員のデータが侵害された
2023/07/11ファーストソースバンク、ドイツ銀行を含む多くの銀行や金融サービス事業者が、MOVEit 攻撃により顧客情報が侵害されたと発表
2023/07/12MOVEit サイバー攻撃の影響を受けた組織の数が287に達する
2023/07/16MOVEit サイバー攻撃の影響を受けた組織の数が455に達する
2023/10/04MOVEit サイバー攻撃の影響を受けた組織の数が2,200を超える
表はCyber Security Hub「IOTW: A full timeline of the MOVEit cyber attack」をベースに整理したもの
図はRecordedFuture社のツールを使用して検索した、MOVEit脆弱性を悪用したサイバー攻撃の発生日時。

 

表、およびグラフをみてもわかる通り、実際に被害が発生したのは2023年5月〜7月の付近に集中しており、それ以降はピタッと攻撃が止まっているのが特徴になります(上図の10月・12月は攻撃ではない別の情報)。

 被害企業は著名な企業や政府などが多く、Sony Interactive Entertainment Japan(2023年10月になってから被害を公表)等も含まれています。

TTP

こちらは、MITRE ATT&CKの「TA505」からTechniquesを抜き出したものになります。

DomainIDNameUse
EnterpriseT1087.003Account DiscoveryEmail AccountTA505EmailStealerを使用してメールアドレスリストを盗み出しリモート サーバーに送信します。[7]
EnterpriseT1583.001Acquire InfrastructureDomainsTA505はDropbox などのサービスになりすましてマルウェアを配布するドメインを登録しています。[5]
EnterpriseT1071.001Application Layer ProtocolWeb ProtocolsTA505はHTTP を使用して C2 ノードと通信します。6]
EnterpriseT1059.001Command and Scripting InterpreterPowerShellTA505 はPowerShell を使用して、マルウェアと偵察スクリプトをダウンロードして実行します。[1][8][9][10]
.003Command and Scripting InterpreterWindows Command ShellTA505cmd.exeを使用してコマンドを実行します。[7]
.005Command and Scripting InterpreterVisual BasicTA505はVBSを使用してコードを実行します。[1][2][7][6]
.007Command and Scripting InterpreterJavaScriptTA505はコードの実行に JavaScript を使用しています。[1][2]
EnterpriseT1555.003Credentials from Password StoresCredentials from Web BrowsersTA505はマルウェアを使用してInternet Explorerから認証情報を収集します。[1]
EnterpriseT1486Data Encrypted for ImpactTA505Clop・Locky・Jaff・Bart・Philadelphia・GlobeImposterなどのさまざまなランサムウェアを使用して、被害者のファイルを暗号化し、身代金の支払いを要求します。[1]
EnterpriseT1140Deobfuscate/Decode Files or InformationTA505はXOR キーを使用してパックされた DLL を復号化します。[4]
EnterpriseT1568.001Dynamic ResolutionFast Flux DNSTA505は高速フラックスを使用して、複数の IP にペイロードを分散することでボットネットをマスクします。[7]
EnterpriseT1562.001Impair DefensesDisable or Modify ToolsTA505はマルウェアを使用して Windows Defender を無効にします。[5]
EnterpriseT1105Ingress Tool TransferTA505は被害者のシステム上で実行する追加のマルウェアをダウンロードします。[9][10][8]
EnterpriseT1559.002Inter-Process CommunicationDynamic Data ExchangeTA505はDDE を悪用した悪意のある Word ドキュメントを悪用します。[2]
EnterpriseT1112Modify RegistryTA505はマルウェアを使用してレジストリを変更し、Windows Defender を無効にします。[5]
EnterpriseT1106Native APITA505はWindows API 呼び出しを使用するペイロードを侵害されたホストに展開します。[5]
EnterpriseT1027Obfuscated Files or InformationTA505は、パスワードで保護された悪意のある Word ドキュメントを使用します。[1]
.002Software PackingTA505は悪意のあるコードを隠すために UPX を使用します。[6]
.010Command ObfuscationTA505はbase64 でエンコードされた PowerShell コマンドが使用されています。[9][10]
EnterpriseT1588.001Obtain CapabilitiesMalwareTA505AzorultCobalt Strikeのようなマルウェアをオペレーションで使用します。[4]
.002Obtain CapabilitiesToolTA505AdFindBloodHoundMimikatzPowerSploitのような様々なツールをオペレーションで使用します。[4]
EnterpriseT1069Permission Groups DiscoveryTA505はTinyMet を使用して特権グループのメンバーを列挙します。[6] TA505はまた、「net group /domain」を実行します。[7]
EnterpriseT1566.001PhishingSpearphishing AttachmentTA505は最初に被害者を侵害するために、悪意のある添付ファイルを含むスピアフィッシング電子メールを使用しましす。[1][2][3][9][8][11][7][12][6]
.002PhishingSpearphishing LinkTA505は悪意のあるリンクを含むスピアフィッシング電子メールを送信します。[1][3][7][12]
EnterpriseT1055.001Process InjectionDynamic-link Library InjectionTA505はDLL を winword.exe に挿入することが確認されています。[6]
EnterpriseT1608.001Stage CapabilitiesUpload MalwareTA505は攻撃者が制御するドメインにマルウェアをステージングします。[5]
EnterpriseT1553.002Subvert Trust ControlsCode SigningTA505はThawte および Sectigo からのコード署名証明書を使用してペイロードに署名しています。[9][10][7]
.005Subvert Trust ControlsMark-of-the-Web BypassTA505は.iso ファイルを使用して悪意のある .lnk ファイルを展開します。[13]
EnterpriseT1218.007System Binary Proxy ExecutionMsiexecTA505msiexecを用いて悪意のある Windows インストーラー ファイルをダウンロードして実行します。[9][10][7]
.011System Binary Proxy ExecutionRundll32TA505rundll32.exeを使用して悪意のあるDLLを実行します。[9][10]
EnterpriseT1552.001Unsecured CredentialsCredentials In FilesTA505は、マルウェアを使用して FTP クライアントと Outlook から資格情報を収集しましす。[1]
EnterpriseT1204.001User ExecutionMalicious LinkTA505はおとりを使ってユーザーに電子メールや添付ファイル内のリンクをクリックさせます。例えばTA505はマルウェアを正規の Microsoft Word ドキュメント、.pdf、.lnk ファイルのように見せかけます。[1][2][3][9][8][11][7][12]
.002User ExecutionMalicious FileTA505はおとりを使ってユーザーを誘導し、悪意のある添付ファイル内のコンテンツを有効にし、アーカイブに含まれる悪意のあるファイルを実行させます。 たとえば、TA505はマルウェアを正規の Microsoft Word ドキュメント、.pdf、.lnk ファイルのように見せかけます。[1][2][3][9][8][11][7][12][6]
EnterpriseT1078.002Valid AccountsDomain AccountsTA505は盗んだドメイン管理者アカウントを使用して、追加のホストを侵害します。[6]
MITRE ATT&CK 「TA505」より引用

Cl0pランサムウェアグループ(TA505)の、MOVEitの脆弱性(CVE-2023-34362)に関するTTP

以下は、MOVEitの脆弱性(CVE-2023-34362)に関するTTPになります。こちらはCISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」から抜粋しています。

– ATT&CK Techniques for Enterprise – 初期アクセス

TechniqueID説明
外部公開されたアプリケーションへのエクスプロイトT1190CL0P ランサムウェア グループは、MOVEit Transferの脆弱性(CVE-2023-34362)を悪用しました。 MOVEit Transfer Web アプリケーションに侵入するためのSQL インジェクションから始まります。
フィッシングT1566CL0Pランサムウェアグループは初期アクセスを取得するために、組織の従業員に大量のスピアフィッシングメールを送信します。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 実行

TechniqueID説明
コマンドとスクリプトインタプリタ: PowerShellT1059.001CL0P ランサムウェアグループは SDBotをバックドアとして使用し、侵害したコンピュータで他のコマンドや機能を実行できるようにします。
コマンドとスクリプトインタプリタ: Windows Command ShellT1059.003CL0P ランサムウェアグループは、小規模なOSSのTinyMet を使用してC2 サーバーへのリバースシェルを確立します。
共有モジュールT1129CL0P ランサムウェアグループは、Truebotを用いて他のモジュールをダウンロードします。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 持続

TechniqueID説明
サーバーソフトウェアコンポーネント:Web ShellT1505.003DEWMODE はMySQL DBと対話できるWeb シェルであり、侵害したネットワークからデータを抽出するために使用します。
イベントトリガー実行:Application ShimmingT1546.011CL0Pランサムウェアグループは永続化と検出回避のために、Application ShimmingとしてSDBotマルウェアを使用します。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 権限昇格

TechniqueID説明
権限昇格のためのエクスプロイト実行T1068CL0Pランサムウェアグループは、侵害したネットワーク内で権限を昇格する前にMOVEit Transfer DBへのアクセス権を取得しています。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 防衛回避

TechniqueID説明
プロセスインジェクションT1055Cl0PランサムウェアグループはシェルコードをロードするためにTruebotを使用します。
痕跡消去T1070Cl0Pランサムウェアグループは検出を避けるためにTruebotを使用後に削除しています。
実行フローのハイジャック: DLLサイドローディングT1574.002Cl0PランサムウェアグループはDLLサイドローディングのためにTruebotを使用します。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 探索

TechniqueID説明
リモートシステムの探索T1018Cl0PランサムウェアグループはActive Directory (AD) サーバーにアクセスした後、Cobalt Strike を使用してネットワークアクセスを拡げていきます。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 水平移動

TechniqueID説明
リモートサービス:SMB/Windows Admin共有T1021.002Cl0PランサムウェアグループはSMBの脆弱性を利用し、Cobalt Strikeを用いてAD サーバーを侵害しようとしていることが観察されています。
リモートサービス セッションハイジャック:RDPハイジャックT1563.002Cl0Pランサムウェアグループは最初のアクセス後に、RDPを使用して侵害したシステムを使用することが観察されています。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 収集

TechniqueID説明
スクリーンキャプチャT1113Cl0PランサムウェアグループはTruebotを使用して重要なデータのスクリーンショットを収集します。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – コマンド&コントロール

TechniqueID説明
アプリケーションレイヤプロトコルT1071Cl0PランサムウェアグループはFlawedAmmyy RATツールを使用してコマンド &コントロール(C2)と通信します。
侵入ツールの送り込みT1105Cl0PランサムウェアグループはFlawedAmmyy RATツールを使用して追加のコンポーネントをダウンロードします。また、Cl0PランサムウェアグループはSDBot を使用して、自身をリムーバブルドライブやネットワークにコピーします。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

– ATT&CK Techniques for Enterprise – 抽出

TechniqueID説明
C2Channelを介した抽出T1041Cl0PランサムウェアグループはC2チャネルを介してデータを抽出します。
CISA「#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability」より抜粋

参考情報

この記事があなたのお役に立てればうれしく思います。

最後までお読みいただき、ありがとうございます。