採用情報

お問い合わせ

BLOG

脆弱性管理 BLOG

2024 年 04 月 15 日

2024 年 1〜2 月の脅威動向と代表的な攻撃(後編)

2. Okta の侵害から派生した Cloudflare のデータ侵害

前編 ~ LockBit ランサムウェアグループに対する国際的な一斉摘発(Operation Cronos) ~ はこちら

Cloudflare 社が 2023 年 2 月 2 日にブログを公開し、昨年 2023 年 10 月の Okta 侵害に起因した Cloudflare のデータ侵害について時系列とともに発表しています。以下では、この Cloudflare 社の調査報告により得られた情報を簡単に纏めています。

2-1. エグゼクティブ サマリー

項目 内容
Who(誰が) 2024 年 2 月の段階では、犯人に関しての情報は出ていない。
When(いつ) 2023 年 10 月の Okta 侵害から 11 月 24 まで
Where(どこで) Wiki(Atlassian Confluence を使用 ) とバグ DB(Atlassian Jira を使用 )
What(何を) Atlassian スイートと Atlassian が動作するサーバー
Why(なぜ) 政治的な意図で行っている可能性がある。
How(どのように) Okta の認証情報侵害から発生し、大凡一ヶ月後に認証情報を悪用してシステムに侵入・攻撃を行おうとした。
回避策 ブートローダーとファームウェアの不正なダウンロードと再起動がないかネットワークデバイスを監視する。また SSH を含むルーター宛ての異常なトラフィックも監視を行う。

2-2. Who(誰が)

現時点では Cloudflare のインシデントに関して、攻撃を試みた脅威アクターがどのグループだったのかなどの情報は入っていません。
一方で Okta の侵害に関しては、

<参考情報>

2-3. When(いつ)

タイムラインは別途、How のところの表として纏めています。

<参考情報>

2-4. Where(どこで)

Okta から流出した認証情報を使用し、Wiki(Atlassian Confluence を使用)とバグデータベース(Atlassian Jira を使用)にアクセス。

2-5. What(何を)

本件を実行した脅威アクターは現在の所特定されていません。脅威アクターのアクセスは Atlassian スイートと Atlassian が動作するサーバーに限定されており、他のグローバルネットワーク、データセンター、SSL キー、顧客データベースや設定情報、当社や顧客が導入した Cloudflare Workers、AI モデル、ネットワークインフラ等にアクセスしたという証拠は一切ないということです。彼らのアクセスは脅威アクターが当社のグローバルネットワーク、データセンター、SSL キー、顧客データベースや設定情報、当社や顧客が導入した Cloudflare Workers、AI モデル、ネットワークインフラ、さらには Workers KV、R2、Quicksilver などのデータストアにアクセスしたという証拠は一切ないということです。彼らのアクセスは Atlassian スイートと Atlassian が動作するサーバーに限定されていました。れていました。

2-6. Why(なぜ)

はっきりした事は不明ですが、Cloudflare は調査の中で、今回の攻撃は「国家レベルの巧妙なアクターが、思慮深く計画的に行動したセキュリティインシデント」であったと考えています。

2-7. How(どのように)

以下は今回の一連の流れを説明とともに纏めたものとなる。

年月日 時・分 説明
2023/10/18

Okta の侵害があり、脅威アクターが認証情報にアクセス可能な状態になりました。侵害を受け、殆どの認証情報をアップデートしましたが、Okta の侵害で流出した認証情報のうち以下がアップデートされていませんでした(純粋に、Cloudflare のミスであり、サービスベンダとは無関係)。

  1. Atlassian システムへのリモートアクセスを許可する Moveworks サービストークン
  2. SaaS ベースの Smartsheet アプリが使用するサービスアカウント
  3. ソースコード管理システムへのアクセスに使用する Bitbucket サービスアカウント
  4. AWS 環境で、グローバルネットワークにはアクセスできず、顧客データや機密データも存在しない環境のアカウント
2023/11/14 09:22:49 脅威アクターがシステムの偵察を開始(ログから正確な時間が判明した)。Okta インスタンスにログインしようとしましたが、アクセスは拒否されました。また、Cloudflare Dashboard へのアクセスを試みましたが、アクセスは拒否されました。さらに Cloudflare Apps マーケットプレイスに使用されている AWS 環境にアクセスしましたがログインが不可能でした。
2023/11/15 16:28:38 脅威アクターが Atlassian サービスにアクセス。Moveworks のサービストークンを使用して当社のゲートウェイ経由で認証を行い、Atlassian Jira と Confluence へのアクセスに成功し、その後 Smartsheet のサービスアカウントを使用して Atlassian スイートへアクセスしました。翌日、彼らは Cloudflare のグローバルネットワークの構成と管理に関する情報を探し始め、さまざまな Jira チケットへのアクセスを開始しました。
2023/11/16 14:36:37 脅威アクターが Atlassian ユーザーアカウントを作成しました。Smartsheet のクレデンシャルを使用して、通常の Cloudflare ユーザーに見せかけた Atlassian アカウントを作成しました。彼らはこのユーザーを Atlassian 内の多くのグループに追加し、Smartsheet サービスアカウントが削除された場合でも、Atlassian 環境に持続的にアクセスできるようにしました。
2023/11/17〜2023/11/20 この期間、脅威アクターが Cloudflare システムへのアクセスを中断しました。
2023/11/22 14:18:22

Smartsheet のサービスアカウントには Atlassian Jira への管理者アクセス権が付与されていたため、脅威アクターは Sliver Adversary Emulation Framework をインストールしました。Sliver のインストールには、ScriptRunner for Jira プラグインが使用されました。

これにより、彼らはアトラシアンのサーバーに持続的にアクセスできるようになり、これを利用してラテラル(水平方向)の移動を試みました。脅威アクターはこのアクセスを利用して、サンパウロのデータセンターにあるサーバーへのアクセスを試みました。アクセスは拒否され、グローバルネットワークには一切アクセスできませんでした。
2023/11/23 Cloudflare のセキュリティチームによる検出と脅威アクターのアクセス停止が行われました。Cloudflare のセキュリティチームは、16:00 に脅威アクターの存在を警告され、その 35 分後に Smartsheet サービスアカウントを停止しました。48 分後、脅威アクターによって作成されたユーザーアカウントが発見され、無効化されました。最初の警告が発せられてから、脅威アクターを阻止するために取られた主な行動の詳細なタイムラインは以下の通りです。
  15:58 脅威アクターが Smartsheet サービスアカウントを管理者グループに追加
  16:00 15:58 の変更について、セキュリティチームに自動アラート
  16:12 Cloudflare SOC がアラートの調査を開始
  16:35 Cloudflare SOC が Smartsheet サービスアカウントを無効化
  17:23 脅威アクターが作成した Atlassian ユーザーアカウントの発見、無効化
  17:43 Cloudflare の内部でインシデントが宣言される。
  21:31 脅威アクターの既知の IP アドレスをブロックするためにファイアウォールルールを設置
2023/11/24 Sliver Adversary Emulation Framework が削除され、すべての脅威アクターのアクセスが停止
IoC

IoC は Crowdflare 社の「2023 年感謝祭のセキュリティインシデント」に載っているものを転記します。

Indicator 指標タイプ SHA-256 説明
193.142.58[.]126 IPv4 N/A 脅威アクターインフラ/所有者
M247 ヨーロッパ SRL(ブカレスト、 ルーマニア)
198.244.174[.]214 IPv4 N/A Silver C2 サーバ/所有者
OVH SAS(イギリス、ロンドン)
idowall[.]com ドメイン N/A Silver にサービスを提供するインフラ
jvm エージェント ファイル名 bdd1a085d651082ad567b03e5186d1d4 6d822bb7794157ab8cce95d850a3caaf Silver ペイロード

<参考情報>

2-8. 参考情報

  1. CrowdStrike: 「IMPERIAL KITTEN Deploys Novel Malware Families in Middle East-Focused Operations
  2. theRecord: 「Iranian Imperial Kitten hackers targeted Israeli organizations in October

2024 年 1-2 月の脅威動向一覧

2024 年 1-2 月の脅威動向を見るために、以下で発生したインシデント・攻撃を羅列します。

  1. マルウェア・ランサムウエア情報
    1. AsyncRAT マルウェアが米国のインフラを攻撃
    2. Kasseika ランサムウェアが AntiVirus ドライバーを使用して他の AntiVirus ソフトを破壊
    3. Microsoft Teams のフィッシングにより、グループチャット経由で DarkGate マルウェアがプッシュされる
  2. 国際関係に起因するインシデント・攻撃
    1. ロシアのハッカーが KyivStar への攻撃で数千のシステムを消去
    2. トルコのハッカー Sea Turtle がオランダの ISP や通信会社に攻撃を拡大
    3. 親ウクライナ派のハッカーがキエフスター攻撃への報復としてロシアの ISP に侵入
    4. 中国が背後にいるハッカー UNC3886 が 2 年前から VMWare の脆弱性 (CVE-2023-34048) を悪用していたという話
    5. オーストラリアがメディバンクのデータ侵害の背後にある REvil ハッカーを制裁
    6. APT29 が HPE のメールなどデータを盗難
    7. ウクライナのハッカーによる攻撃で、ロシアの研究センターから 2 ペタバイトのデータが消去される
    8. ウクライナで、PurpleFox マルウェアが数千台のコンピュータに感染
    9. 米国、商用スパイウェアに関連する人々へのビザ発禁を発表
    10. 中国の脅威アクターがオランダの軍事ネットワークに侵入
    11. Turla が新しい TinyTurla-NG マルウェアを使用
    12. FBI が Moobot ボットネットを妨害
    13. 北朝鮮の LAZARUS が世界の防衛部門を標的としたスパイ活動を進行中
  3. その他のインシデント・攻撃
    1. Qilin ランサムウェア攻撃によりビクトリア州の法廷録画が漏洩
    2. ゼロックス、INC ランサムウェアグループによる攻撃で子会社 XBS US が侵害されたと発表
    3. 博物館ソフトウェアソリューションプロバイダーの Gallery Systems がランサムウェア攻撃に遭い停止
    4. Mandiant の X(旧 Twitter)アカウントがハイジャックされる
    5. Orange Spain RIPE アカウントがハッカーに乗っ取られる
    6. Web3 セキュリティ会社 CertiK の X(旧 Twitter)アカウントがハッキングされる
    7. NetGear, Hyundai の X アカウントもハッキングされる
    8. 米国の住宅ローン金融会社 LoanDepot がサイバー攻撃を受ける
    9. LockBit ランサムウェアグループが米国 Capital Health 病院へのサイバー攻撃の犯行声明を出す
    10. セキュリティ研究者を名乗る攻撃者がランサムウェア被害者を標的に
    11. 米国証券取引委員会の X アカウントがハッキングされ、証券取引所でのビットコイン ETF の承認に関する偽の発表が行われる
    12. フィデリティ・ナショナル・フィナンシャル(FNF)が 11 月にサイバー攻撃に遭い 130 万人の顧客のデータが流出
    13. フィンランドが NAS 等バックアップに対する Akira ランサムウェアの活動活発化を警告
    14. イランの APT35 が MediaPl マルウェアで研究者を標的に
    15. 脆弱な Docker を狙う攻撃
    16. ハイアールを狙った攻撃
    17. ロシアのハッカー、1 か月にわたる侵害でマイクロソフト社の電子メールを盗む
    18. アメリカの水道サービス Veolia がランサムウェア被害に
    19. カンザスシティの公共交通機関が Medusa ランサムウェアの被害に
    20. エネルギー大手のシュナイダーエレクトリックが Cactus ランサムウェア攻撃を受ける
    21. Mercedes-Benz のソースコードが危険にさらされる : GitHub トークンの事故により重大なセキュリティ上の懸念
    22. CISA が Volt Typhoon の攻撃に備えて SOHO 用ルータの安全性を保つようにとベンダにガイドラインを出す
    23. カーレンタルの Europcar がデータ侵害を否定。データは偽物だと主張
    24. CISA が米国連邦政府機関に対し、脆弱性のある Ivanti Connect Secure・Policy Secure VPN アプライアンスを土曜日までに切断するよう命令
    25. Okta 攻撃で盗まれた認証トークンを使用して Cloudflare がハッキングされる
    26. Lurie 小児科病院がサイバー攻撃を受け、システムがオフラインに
    27. Verizon が内部関係者によるデータ侵害。従業員 63,000 人以上の情報が漏洩
    28. 「ResumeLooters」によるデータ侵害で 200 万人を超える求職者の個人データが盗難
    29. フランスの医療サービス会社でデータ侵害
    30. 偽の LastPass アプリケーション LassPass が AppStore に。
    31. ヒュンダイモーターズヨーロッパが BlackBasta ランサムウェアによる攻撃を受ける
    32. ランサムウェア攻撃によりルーマニアの 21 の病院が閉鎖に追い込まれる
    33. Infosys Mccamish Systems がデータ侵害に。LockBit による攻撃か
    34. トランス・ノーザン・パイプライン、ALPHV ランサムウェアによる攻撃か
    35. プルデンシャル・ファイナンシャルがサイバー攻撃で侵害される
    36. ホームセキュリティカメラの Wyze で障害発生
この記事の著者

OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅

本記事に関連するリンク
MIRACLE Vul Hammer 脆弱性管理ツール「MIRACLE Vul Hammer(ミラクル・バル・ハンマー)」
SBOMを使った脆弱性管理を実現!MIRACLE Vul Hammer
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime