採用情報

お問い合わせ

BLOG

脆弱性管理 BLOG

2024 年 02 月 15 日

2023 年 11 〜 12 月の脅威動向と代表的な攻撃(後編)

~ ロシアの背後にいる Sandworm がウクライナに物理的な攻撃を仕掛ける ~

2. 「Citrix Bleed(CVE-2023-4966)」とそれを悪用した攻撃

前編 ~ イランのハッカーがイスラエルのテクノロジー企業にマルウェア攻撃を開始 ~ はこちら

2023 年 10 月 10 日に、Citrix Netscaler ADC/Gateway の脆弱性 (CVE-2023-4966) が公開されました。こちらの脆弱性は、公開されるとすぐに悪用が観測され、有名な LockBit ランサムウェアグループや Medusa ランサムウェアグループによっても悪用されました。
これを受けて、CISA/FBI が LockBit グループによる「Citrix Bleed(CVE-2023-4966)」脆弱性悪用について注意喚起も行っています。

以下では、脆弱性「Citrix Bleed」を悪用した攻撃に関する情報を纏めます。

2-1. エグゼクティブ サマリー

項目 内容
Who(誰が) LockBit ランサムウェアグループ/Medusa ランサムウェアグループ
When(いつ) 2023 年 10 月 10 日
Where(どこで) JAXA
What(何を) 内部ネットワークに不正アクセス
Why(なぜ) スパイ・諜報活動の一環と思われる。
How(どのように) 不明

2-2. Who(誰が)

2023 年 12 月時点で、Citrix Bleed を悪用しているランサムウェアグループとして

  • LockBit ランサムウェアグループ
  • Medusa ランサムウェアグループ

の2つが挙げられています。以下で、それぞれのランサムウェアグループに関する概要をまとめています。

LockBit ランサムウェアグループ ( 別名 BITWISE SPIDER)

LockBit ランサムウェアグループは 2019 年に出現し、それ以来重大な脅威をもたらしている脅威アクターです。LockBit は、その RaaS (Ransomware-as-a-Service)モデルで広く知られており、二重恐喝を専門としています。

2022 年、LockBit は世界中で最も多く導入されたランサムウェアの亜種であり、2023 年も引き続き Top の座をキープしています。

LockBit を使用するアフィリエイト(攻撃の実行者)は

  • 金融サービス
  • 食品
  • 農業
  • 教育
  • エネルギー
  • 政府関連機関
  • 医療
  • 製造
  • 輸送

等を攻撃の対象としてきました。

LockBit では、Ransomware-as-a-Service (RaaS) モデルとして

  • LockBit ランサムウェアツール
  • LockBit インフラストラクチャ

を提供しており、実際のランサムウェア攻撃を実行するアフィリエイターが募集されています。

アフィリエイトが多数存在するため、LockBit ランサムウェア攻撃では都度観察される戦術、技術、および手順 (TTP) が大きく異なっています。この点がランサムウェアからシステムを保護しようとしている組織にとっては非常に課題となっています。

著名な LockBit 攻撃:
  • 徳島・半田病院(2022 年)
  • 埼玉県・岡田病院(2022 年)
  • ブリジストン・アメリカ(2022 年)
  • NUTS(名古屋港統一ターミナルシステム)への攻撃(2023 年)
Medusa ランサムウェアグループ (Frozen Spider)

Medusa ランサムウェアグループは 2021 年 6 月に観測され、セキュリティ専門家の注目を集めている脅威アクターです。Medusa も、最近の脅威アクターと同じく RaaS (Ransomware-as-a-Service)モデルで広く知られています。

 Medusa は、Medusa Blog を通じて被害者を発表して二重脅迫を行い、連絡先情報としてメールとテレグラムを併用しています。被害者のお知らせをクリックすると、カウントダウンタイマーが開く様になっています。

Medusa は攻撃の大部分が北米とヨーロッパに集中しており、その標的もランダムではなく、2023 年のミネアポリス学区をターゲットにしたように、教育機関に集中して国際社会への波紋を確実にもたらすような戦略が取られています。

著名な Medusa による攻撃:
  • 北米・ミネアポリス学区(2023 年)
  • US Campbell County Schools (2023 年)
  • TOYOTA Finance Service(2023 年)

<参考情報>

2-3. When(いつ)

2023/11/2 LockBit ランサムウェアグループにより、ボーイング社への攻撃が行われる。
2023/11/9 LockBit ランサムウェアグループにより、中国工商銀行への攻撃が行われる。
2023/11/16 Medusa ランサムウェアグループにより、Toyota Financial Service への攻撃が行われる。

<参考情報>

2-4. Where(どこで)

現時点で確定しているのは

  • ボーイング社
  • 中国工商銀行
  • Toyota Financial Service

だけですが、他にもニュースになっていない被害者がいると考えられます。

2-5. What(何を)

製造、金融サービスの内部ネットワークに不正アクセスし情報を入手。その他に、食品、農業、教育、エネルギー、政府関連機関、医療、輸送等がターゲットとして考えられます。

2-6. Why(なぜ)

LockBit ランサムウェアグループ/Medusa ランサムウェアグループの両方とも、金銭目的のランサムウェアグループとして活動しているため、目的は純粋に恐喝による身代金が目的と思われます。

2-7. How(どのように)

 以下、CISA が公開している LockBit ランサムウェアグループ(ボーイング社のインシデントを実例に書かれている)に基づいて説明します。

脆弱性
一次情報源
CVE 情報

●CVE-2023-4966

  • CVSS
    • Base Score: 9.4 Critical
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • ゲートウェイ (VPN 仮想サーバー、ICA プロキシ、CVPN、RDP プロキシ ) または AAA 仮想サーバーとして構成されている場合の、NetScaler ADC / NetScaler Gateway での重要な情報の漏洩

●CVE-2023-4967

  • CVSS
    • Base Score: 8.2 High
    • CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
  • ゲートウェイ (VPN 仮想サーバー、ICA プロキシ、CVPN、RDP プロキシ ) または AAA 仮想サーバーとして構成されている場合の、NetScaler ADC / NetScaler Gateway での DoS の脆弱性
影響を受ける製品
  • NetScaler ADC および NetScaler Gateway の 14.1 14.1-8.50 より前
  • NetScaler ADC および NetScaler Gateway の 13.1 13.1-49.15 より前
  • NetScaler ADC および NetScaler Gateway の 13.0 13.0-92.19 より前
  • NetScaler ADC 13.1-37.164 より前の NetScaler ADC 13.1-FIPS
  • NetScaler ADC 12.1-55.300 より前の NetScaler ADC 12.1-FIPS
  • NetScaler ADC 12.1-NDcPP 12.1-55.300 より前
脆弱性公開段階での悪用状況

この脆弱性の悪用が 2023年8 月下旬から実際に行われていることを Mandiant 社が確認しています。悪用に成功すると、既存の認証されたセッションがハイジャックされる可能性があり、その結果、多要素認証 (MFA) やその他の強力な認証要件がバイパスされる可能性があります。

TTP

ボーイング社のインシデントから、LockBit3.0 アフィリエイトが CVE-2023-4966 を悪用して Boeing Distribution Inc. への初期アクセスを取得していることが観察されました。

前述の Citrix Bleed を悪用することで、攻撃者はパスワードと多要素認証 (MFA) をバイパスして、NetScaler ADC および NetScaler Gateway 上の正規ユーザーに対するセッションハイジャックが成功します。
攻撃者は、正規のユーザーセッションを乗っ取ることによって資格情報を収集し、水平移動(ラテラル・ムーブメント)を行い、データやリソースにアクセスするための、より強い権限レベルのアクセスを取得していました。

MITRE ATT&CK テクニック

以下に MITRE ATT&CK の表を示します。

- ATT&CK Techniques for Enterprise: 発見(Discovery)

Technique Title ID 使用
システム情報の発見 T1082 脅威アクターは、バージョンやパッチなど、OS やハードウェアに関する情報を入手しようとします。

- ATT&CK Techniques for Enterprise: クレデンシャルアクセス(Credential Access)

Technique Title ID 使用
認証プロセスの変更:多要素認証 T1556.006 脅威アクターは、バージョンやパッチなど、OS やハードウェアに関する情報を入手しようとします。
Web セッションクッキーの窃取 T1539 有効な Cookie にアクセスできる攻撃者は、ユーザー名/パスワード/多要素認証 (MFA) トークンへのアクセスを必要とせずに、NetScaler アプライアンスで認証済みセッションを確立できます。
IoC

IoC に関しては、分量が多いので、本記事では割愛させていただきます。CISA の出している「StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」を確認してください。

<参考情報>

2-8. 参考情報

  1. JapanSecuritySummitUpdate: 「 最速! 危険度の高い脆弱性をいち早く解説「脆弱性研究所」第 15 回(2023 年 10 月まとめ)
  2. Mandiant:「Citrix NetScaler ADC/Gateway: CVE-2023-4966 Remediati
  3. #StopRansomware: 「LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability
  4. SocRadar: 「Dark Web Profile: Medusa Ransomware (MedusaLocker)
  5. BleepingComputer「Boeing confirms cyberattack amid LockBit ransomware claims
  6. ロイター通信「 ランサムウエア攻撃受けた中国工商銀が身代金支払い=犯罪集団の声
  7. Cybernews「Toyota Financial Services attack claimed by Medusa ransomware

2023 年 11-12 月の脅威動向一覧

2023 年 11-12 月の脅威動向を見るために、以下で発生したインシデント・攻撃を羅列します。

1. マルウェア・ランサムウエア攻撃

  1. 5 種類のランサムウェアと関連する脅威アクター「farnetwork」
  2. ランサムウェアグループがカジノのサードパーティゲームベンダーを経由してハッキングを実施。FBI が警告
  3. 中国工商銀行がランサムウェア被害に
  4. LockBit ランサムウェアグループが Citrix Bleed(CVE-2023-4966)を悪用。中国工商銀行・ボーイング等も被害か
  5. FBI・CISA が Rhysida Ransomware グループに関しての注意喚起
  6. Tronto 公共図書館がランサムウェ被害を公表
  7. TOYOTA Finance Service が Medusa ランサムウェアの被害に遭う。Citrix Bleed 悪用の可能性も有り
  8. YAMAHA 発動機フィリピン子会社サーバへの不正アクセス
  9. CISA/FBI が LockBit グループによる「Citrix Bleed(CVE-2023-4966)」脆弱性悪用について注意喚起
  10. ヘルスケア大手ヘンリー・シャインが BlackCat ランサムウェアに 2 度襲われる
  11. e コマースや会計などの SaaS 提供の Tipalti、ALPHV ランサムウェアグループによる被害を調査開始
  12. HTC グローバルサービスがサイバー攻撃によるデータ漏洩を認める
  13. Norton ヘルスケア、5 月のランサムウェア攻撃後のデータ侵害を明らかに
  14. LockBit ランサムウェアグループが BlackCat/NoEscape アフィリエイトたちから人材を引き抜いている
  15. Play ランサムウェアが重要組織を含む 300 の組織に影響を与えたとの FBI による報告
  16. Vans と North Face のオーナー VF Corp がランサムウェア被害に
  17. 司法省が ALPHV/BlackCat Ransomware グループを阻止
  18. Nissan オーストラリアへのサイバー攻撃で Akira ランサムウェアグループが犯行を主張
  19. Qilin ランサムウェアの Linux バージョンが発見される。VMware ESXi を標的に
  20. スロベニア最大の電力会社 HSE がランサムウェア被害に遭う

2. 国際関係に起因するインシデント・攻撃

  1. ロシアの銀行 Sberbank が大規模 DDoS の被害を受ける
  2. カナダ政府の請負業者がデータ流出
  3. ハクティビストが米国の核研究所に到達しデータを盗む
  4. Lazarus(ZINC) グループが台湾の CyberLink 社に侵入。サプライチェーン攻撃目的か
  5. 「AeroBlade」と呼ばれるハッカーが米国の航空宇宙部門を標的に
  6. ドイツ警察がサイバー犯罪マーケットの「Kingdom Market」を摘発
  7. BiBi-Linux というワイパーマルウェアが新たに登場。イスラエル企業を攻撃
  8. SysJoker と呼ばれる Rust で書かれたマルウェア、ハマスのハッカーに関係
  9. Agent Raccoon と呼ばれるマルウェアがサイバー攻撃に使用されている
  10. Lazarus が Log4Shell(CVE-2021-44228) を利用した新たな RAT マルウェアパッケージを配布
  11. 防衛企業を狙う新たな FalseFont マルウェア
  12. ロシアが背後に居る Sandworm がウクライナに物理的な攻撃を仕掛ける
  13. ロシアの APT28 がフランスの多数の組織インフラに侵入したとの CERT-FR レポート
  14. Gamaredon の USB ドライバマルウェアがウクライナを超えて拡散
  15. 北朝鮮の Lazarus グループが MagicLine4NX のゼロデイ脆弱性をサプライチェーン攻撃に使用
  16. ウクライナ諜報機関、ロシア連邦航空輸送局「Rosaviatsia」をハッキングしたと主張
  17. JAXA にサイバー攻撃。ロケットや衛星などには影響なし
  18. ハッカーが Adobe ColdFusion エクスプロイトを使用して米国政府機関に侵入
  19. 海軍請負業者 Austal USA、データ漏洩後のサイバー攻撃を認める
  20. ロシア軍ハッカー、NATO 部隊を標的に
  21. ウクライナ最大の携帯電話会社 Kyivstar がサイバー攻撃を受けてダウン
  22. ロシア対外情報局 (SVR) が JetBrains TeamCity の脆弱性 (CVE-2023-42793) を世界的に悪用していると CISA が注意喚起

3. その他のインシデント・攻撃

  1. セキュリティベンダーの SUMO ロジックがセキュリティ侵害を明らかに
  2. Kyocera AVX が LockBit グループの攻撃に遭っていた模様
  3. ScreenConnect ツール経由で医療組織に侵入
  4. LockBit がボーイング社を攻撃、データリークを開始
  5. Samsung がデータ侵害に会い、英国の顧客に影響
  6. FBI・CISA が Scattered Spider グループの詳細を公開
  7. OSS の Blender プロジェクトが DDoS 攻撃の対象に
  8. ヘルスケア事業の Welltok 社がデータ侵害に遭い、米国の患者 850 万人のデータが流出
  9. カンザス州裁判所がサイバー攻撃によるデータ侵害を認める
  10. 偽の脆弱性「CVE-2023-45124」を修正するという Wordpress の更新を装った攻撃に注意
  11. 日産、豪NZでサイバー被害
  12. VoltTyphoon とリンクしている "KV-botnet" が SOHO ルータを狙っている
  13. 住宅ローン大手ミスター・クーパーの情報漏えい、1470 万人に影響
  14. ヘルスケア ソフトウェア プロバイダー「ESO」のデータ侵害、270 万人に影響
  15. Instagram のバックアップ コードを盗み、2FA を回避する新たなフィッシング攻撃
  16. Windows/Linux のデータワイパーをプッシュする偽の F5 BIG-IP ゼロデイ警告メール

この記事の著者

OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅

本記事に関連するリンク
MIRACLE Vul Hammer 脆弱性管理ツール「MIRACLE Vul Hammer(ミラクル・バル・ハンマー)」
SBOMを使った脆弱性管理を実現!MIRACLE Vul Hammer
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime