Zestixとして知られる脅威アクターが、ShareFile、Nextcloud、OwnCloudのインスタンスを侵害した後とみられる数十社から盗み出した企業データを販売すると持ちかけている。
サイバー犯罪インテリジェンス企業Hudson Rockによると、初期侵入は、従業員端末に展開されたRedLine、Lumma、Vidarといった情報窃取型マルウェアが収集した認証情報を通じて得られた可能性がある。
これら3つのインフォスティーラーは通常、マルバタイジング(悪意ある広告)キャンペーンやClickFix攻撃を通じて配布される。この種のマルウェアは一般に、Webブラウザに保存されたデータ(認証情報、クレジットカード、個人情報)、メッセージングアプリ、暗号資産ウォレットのデータを標的とする。
有効な認証情報を持つ脅威アクターは、多要素認証(MFA)による保護が欠けている場合、ファイル共有プラットフォームなどのサービスに不正アクセスできる。
Hudson Rockは本日のレポートで、分析した盗難認証情報の一部が何年も前から犯罪データベースに存在していたと指摘しており、認証情報のローテーションが行われていない、または長期間経過後もアクティブなセッションを無効化していないことを示している。
複数の侵害が宣伝される
Hudson Rockによれば、Zestixは地下フォーラムで初期アクセスブローカー(IAB)として活動し、高価値の企業向けクラウドプラットフォームへのアクセスを販売している。
同社は、攻撃者がShareFile、Nextcloud、ownCloudの環境を侵害した可能性があると示唆しており、対象は航空、防衛、医療、公益事業、大量輸送、通信、法律、不動産、政府など複数の分野にまたがる組織で利用されているという。
出典: Hudson Rock
インフォスティーラーのログを「企業向けクラウドURL(ShareFile、Nextcloud)を特に探して」解析した後、脅威アクターは、MFAが有効になっていない環境で有効なユーザー名とパスワードを用いてファイル共有サービスにログインする。
Hudson Rockは、同社プラットフォーム上のインフォスティーラーデータを、公開されている画像、メタデータ、オープンソース情報と相関させることで、侵害の可能性が高いポイントを特定したと述べている。
分析した少なくとも15件のケースで、同サイバーセキュリティ企業は、クラウドのファイル共有サービス向けの従業員認証情報がインフォスティーラーによって収集されていたことを確認した。
重要なのは、この検証は一方的なものであり、列挙された企業からセキュリティ侵害の公的な確認はないという点だ。例外としてはIberiaがあり得るが、同社の最近の開示がHudson Rockの調査結果と必ずしも関連しているとは限らない。
Zestixは、数十GBから数TBに及ぶ盗難データの販売を持ちかけ、航空機整備マニュアルや機材(フリート)データ、防衛およびエンジニアリング関連ファイル、顧客データベース、医療記録、大量輸送の設計図、公益事業のLiDARマップ、ISPのネットワーク設定、衛星プロジェクトデータ、ERPのソースコード、政府契約、法的文書が含まれると主張した。
盗まれたとされるファイルの多くは、組織をセキュリティ、プライバシー、産業スパイのリスクにさらす可能性があり、政府契約の露出は国家安全保障上の懸念を引き起こし得る。
出典: Hudson Rock
Hudson Rockは、Zestixが「Sentap」という別名で販売している追加の被害者30件のセットも見つけたが、研究者は同じ方法では検証していない。
研究者らは、列挙された被害者に加え、同社の脅威インテリジェンスデータが、クラウド露出がより広範で体系的な問題であり、組織が適切なセキュリティ慣行に従っていないことに起因していることを示していると報告している。
また、Deloitte、KPMG、Samsung、Honeywell、Walmartの一部を含む、感染したコンピュータを数千台特定したと報告している。
Hudson RockはBleepingComputerに対し、ShareFileには通知済みであり、検証済みの露出について適切な対応を取れるようNextcloudとOwnCloudにも警告する予定だと述べた。
