Colt Technology Servicesは、「サイバーインシデント」に見舞われ、一部のサービスを一時的に停止せざるを得なくなっています。
8月14日、ロンドンに拠点を置くこの通信大手は、内部システムが侵害されたことを公に認めました。
このシステムは顧客向けインフラとは切り離されていましたが、同社はインシデントへの対応として一部のシステムをオフラインにしました。
この対応により、ホスティングやポーティングサービス、Colt OnlineおよびVoice APIプラットフォームなど、一部のサポートサービスが中断されました。執筆時点でも、これらは依然として顧客が利用できない状態です。
顧客には、連絡が必要な場合はメールまたは電話で同社に連絡するよう案内されています。
Warlockランサムウェア集団が攻撃を主張
ランサムウェア監視プラットフォームのRansomware.liveおよびRansomLookは、Warlockランサムウェアグループが8月16日にこの侵害の責任を主張したことを検知しました。
インシデント発生時、Warlockに関係していると主張するRAMPハッカーフォーラムのユーザーが、「Coltから盗んだ100万件の文書」を20万ドルで販売すると投稿しました。
データには、財務記録、従業員および顧客データ、経営陣のコミュニケーション、内部メール、独自のソフトウェア開発ファイルなどが含まれていると説明されています。
この主張を裏付けるため、脅威アクターは侵害の正当性を証明するために40万件のファイルのサンプルデータを公開しました。セキュリティ研究者のKevin Beaumontによると、サンプルに含まれるファイル名は実際のColt関連ファイルのものであるようです。
SharePointの脆弱性悪用が侵害の原因か
この侵害は、同社のSharePointサーバーを標的とし、「ToolShell」エクスプロイトチェーンに関与する2つの脆弱性のうちの1つであるCVE-2025-53770を悪用する活動に起因している可能性があると、Beaumontは自身の分析で示唆しています。
BeaumontによるShodanスキャンデータの分析では、攻撃前にサイバー犯罪活動と関連するIPアドレスがColtのシステムを探索していたことが確認されました。
さらに彼は、ColtのSharePointサーバーが突然オフラインになり、不正アクセス維持の一般的な手法であるウェブシェルの設置が示唆される証拠があると指摘しました。
また、公的記録によると、Coltは技術的な障害を初めて公表した同じ日に、EUインフラへのファイアウォール保護の導入を急いで実施したことも明らかになっています。
写真クレジット: aileenchik / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/colt-outages-after-major-cyber/