ノバスコシア州の医療スタッフ10万人ものデータがMOVEit侵害で盗まれる

同州は火曜日、Progress Softwareのファイル転送アプリケーションMOVEitの脆弱性により、ノバスコシア州の医療部門の少なくとも10万人の従業員のデータが盗まれたと発表した。

盗まれたデータには、ノバスコシア州保健局、公共サービス、および主要な小児病院および外傷センターである IWK 保健センターの従業員の社会保険番号、住所、銀行情報が含まれています。

州は給与情報の転送に MOVEit を使用しています。 被害者への通知を開始した。

Clop/Cl0p ランサムウェア集団は、MOVEit Transfer データ盗難攻撃の背後にいると BleepingComputer に語った。 Microsoft の Defender Threat Intelligence サービスを実行している情報セキュリティ チームの場合、Microsoft はこのグループを Race Tempest と呼んでいます。

BBCによると、他の被害者にはBBC、ブリティッシュ・エアウェイズ、英国の薬局チェーンBoots社、アイルランドの航空会社エアリンガス社も含まれるという。

SQL インジェクションのゼロデイ脆弱性は、Progress Software によって 5 月 31 日に発表されました。Mandiant の研究者らは、悪用の最も初期の証拠は 5 月 27 日に発生し、Web シェルの導入とデータ盗難につながったと考えています。 研究者らによると、場合によっては、Web シェルの導入から数分以内にデータが盗まれたという。

この脆弱性は CVE-2023-34362 として知られています。

過去 2 年半にわたって、ハッカーは GoAnywhere MFT、IBM の Apera Faspex、Accelion FTA などのファイル転送アプリケーションのホールを悪用してきました。

多くの研究者は、パッチをすぐにインストールしなかったか、影響を受けないバージョンのオンプレミス版またはクラウド版 MOVEit を使用していた IT 部門は、システムが侵害されたと想定すべきだと述べています。

Huntress Labs の研究者らによると、6 月 1 日の時点で Shodan 検索エンジンを使用してウェブをスキャンしたところ、オープン インターネット上で 2,500 台以上のサーバーが公開されていることが示唆されました。

Huntress の研究者は、Meterpreter でシェル アクセスを受け取り、Windows の NT AUTHORITY\SYSTEM にエスカレーションして、Cl0p ランサムウェア ペイロードを爆発させるエクスプロイトを作成しました。 「これは、認証されていない攻撃者がエクスプロイトを引き起こし、即座にランサムウェアを展開したり、その他の悪意のあるアクションを実行したりする可能性があることを意味します」と研究者らは結論付けています。 「悪意のあるコードは、ローカル管理者グループに属する MOVEit サービス アカウント ユーザー moveitsvc の下で実行されます。攻撃者はウイルス対策保護を無効にしたり、その他の任意のコードを実行したりする可能性があります。」

CrowdStrikeの研究者によると、攻撃者が作成したWebシェルは、権限レベル「30」の既存のユーザーアカウント、またはランダムに生成された新しいユーザー名を利用して、MOVEitアプリケーション内に永続的なセッションを確立するという。 彼らのブログには、情報セキュリティチームが侵害の可能性を調査する方法についての手順が記載されています。

WithSecureの脅威インテリジェンス責任者ティム・ウェスト氏は、盗まれたデータはソーシャルエンジニアリング攻撃や身代金に使用される可能性があると指摘した。 同氏は、ブリティッシュ・エアウェイズは従業員の支払い情報が盗まれたと述べたが、組織は大量のデータが身代金を要求されたり、漏洩サイトにアップロードされたりすることを予期すべきであると指摘した。

経験豊富なジャーナリストやブロガーのチームが、IT プロフェッショナルや基幹業務幹部を対象とした魅力的な詳細なインタビュー、ビデオ、コンテンツをお届けします。