2025 年 01 月 30 日
2024 年 11-12 月の脅威動向と代表的な攻撃(後編)
2. Blue Yonder へのランサムウェア攻撃
前編 ~ 「SaltTyphoon」による米国の通信ハッキング ~ は こちら
Blue Yonder(旧 JDA Software)は世界最大のサプライチェーン・ソフトウェア専門企業で、Microsoft やレノボ、セブンイレブンなど様々なグローバル企業で利用されています。需要予測や在庫の最適化、輸送管理などを AI を用いて小売や製造・物流業者に提供しています。2021 年 4 月にパナソニックに買収されました。
今回のランサムウェア被害により、わかっている範囲でも 英国全土に約 500 の食料品店を展開するモリソンズや英国の大手食料品チェーンであるセインズベリーにも影響があったということです。また、スターバックスのオンラインショップにも影響がでていた模様 です。
2-1. エグゼクティブ サマリー
項目 | 内容 |
---|---|
Who(誰が) | Termite ランサムウェアグループ |
When(いつ) | 2024 年 11 月 21 日、Blue Yonder のマネージドサービスホスト環境での障害が発生する。 |
Where(どこで) | Blue Yonder のマネージドサービスホスト環境 |
What(何を) | Blue Yonder の DB ダンプ、将来の攻撃のための e メールリスト (16,000 件以上 )、保険に関するドキュメント(200,000 件以上)など、680GB のデータ |
Why(なぜ) | 金銭目的と思われる |
How(どのように) | 現時点では判明していない。Cleo の脆弱性を悪用されたという情報も出ている。 |
回避策 |
|
2-2. When(いつ)
以下、時系列になります。Blue Yonder「Cybersecurity Incident Update 」 を元にしています。時刻情報は UTC が基本となります。
日時 | 内容 | 発表元 |
---|---|---|
2024/11/21 | Blue Yonder のマネージドサービスホスト環境で障害が発生。ランサムウェアグループによるインシデントと判断される。 即座に外部のセキュリティ専門家と連携して復旧のプロセスを開始。 | Blue Yonder |
2024/11/22 | 17 時に Blue Yonder「Cybersecurity Incident Update 」に情報を公開する。 | Blue Yonder |
2024/11/23 | 23 時に Blue Yonder「Cybersecurity Incident Update 」を更新。現在 24 時間体制で復旧作業を行っていることを報告。復旧見込み時間も立っていないことを報告。 | Blue Yonder |
2024/11/24 | 20 時に Blue Yonder「Cybersecurity Incident Update 」を更新。11/23 の時の情報に追加情報はない旨が報告される。 | Blue Yonder |
2024/11/24 | 英国全土に約 500 の食料品店を展開するモリソンズの広報担当者が「バックアッププロセスに戻したが、停電により店舗への商品のスムーズな流れに影響が出ている」と CNN のインタビューに答える。 | モリソンズ |
2024/11/24 | 英国の大手食料品チェーンであるセインズベリーの広報担当者が「ブルーヨンダーの停止に対処するための緊急時対応プロセスが整っている」と CNN のインタビューに答える。 | セインズベリー |
2024/11/25 | スターバックスの広報担当者が、ソフトウェアサプライヤー (Blue Yonder) へのランサムウェア攻撃の影響により従業員のスケジュール管理や勤務時間追跡を可能にするスターバックスのバックエンドプロセスが中断し、給与支払いやスケジュール管理に影響が出ていると発表。 | スターバックス |
2024/12/01 | 22 時 25 分に Blue Yonder「Cybersecurity Incident Update 」を更新。一部の顧客のラインが復旧している旨の情報、及び「他のお客様とも直接連携して、通常の業務運営に戻れるよう積極的に取り組んでいます」との報告がなされる。 | Blue Yonder |
2024/12/06 | 20 時 15 分に Blue Yonder「Cybersecurity Incident Update 」を更新。攻撃者がシステムから特定の情報を持ち出したと主張していることは認識している、とコメント。これらに対し外部のサイバーセキュリティ専門家と取り組んでいる旨の報告がなされる。 | Blue Yonder |
2024/12/10 | 「TERMITE」と名乗る脅威アクターから、ダークウェブに Blue Yonder のデータと称するものが流れる。 | Termite |
2024/12/12 | 22 時 45 分に Blue Yonder「Cybersecurity Incident Update 」を更新。外部の専門家とともにセキュリティの強化を行った旨と、影響を受けたお客様の大多数が、すでにサービスが復旧している旨を報告。調査は継続中であり、関係する法執行機関と連携し、情報を共有している旨の報告がなされる。 | Blue Yonder |
2-3. Where(どこで)
ランサムウェアグループによる攻撃を受けたのは CASIO の一部のサーバーになります。
2-4. What(何を)
下記の画像(Bleepingcomputer「Blue Yonder SaaS giant breached by Termite ransomware gang」より引用)によると、「我々は、DB ダンプ、将来の攻撃のための e メールリスト (16,000 件以上 )、保険に関するドキュメント(200,000 件以上)など、680GB のデータを入手した」と、主張しています。
画像は Bleepingcomputer「Blue Yonder SaaS giant breached by Termite ransomware gang」より引用。
また、下記は BreachSense で確認した「Blue Yonder」のデータ漏洩情報になります。
BreachSense「Blue Yonder Data Breach on December 10, 2024」
2-5. Who(誰が)
今回の攻撃に関しては「Termite」という脅威アクターが攻撃を主張しています。
2-5-1 TERMITE(Temite)
Termite ランサムウェアグループは 2024 年 11 月から出現し、主に Termite ランサムウェアの亜種を利用し、被害者に身代金を支払うよう圧力をかける二重の恐喝戦術を採用した高度なランサムウェア攻撃で急速に悪名を高めています。主なターゲットには、物流、自動車、水道などのさまざまな分野となり、直近では「Blue Yonder」を標的にしていたことで知られています。
以下は、Termite のロゴになります。
(画像は前出の BreachSense「Blue Yonder Data Breach on December 10, 2024」より転載)
<参考情報>
- BreachSense「Blue Yonder Data Breach on December 10, 2024」
- Termite Group Targets Département de La Réunion in Cyberattack
2-5-2 Termite ランサムウェアグループの被害組織
Termite ランサムウェアグループは 11/13 にインド洋に位置するフランスの「レユニオン」地方自治体を攻撃しました。この攻撃により、すべての外部ネットワーク接続と電子メールサービスが停止し、主要な公共プラットフォームが混乱しました。
日時 | 標的 | 業種 |
---|---|---|
2024/11/13 | 「レユニオン」地方自治体 | 地方自治体 |
2024/11/18 | OQ | エネルギー企業 |
2024/11/18 | Conseil scolaire Viamonde | Ontario にあるフランス語のパブリックスクール |
2024/11/18 | Nifast | ファスナーと自動車部品のグローバル サプライ チェーン ソリューション パートナー |
2024/11/18 | Culligan | 家庭用軟水器や飲料水システムを提供する企業 |
2024/11/18 | Lebenshilfe Heinsberg | ハインスベルク地域の障害を持つ人々の支援団体 |
2024/12/10 | Blue Yonder | サプライチェーン企業 |
2024/12/13 | Watsonville Community Hospital | 病院 |
2024/12/18 | Tharisa | 白金系金属の採掘、加工、販売を行う鉱業会社 |
2-6. Why(なぜ)
犯人が Termite グループだとすると、金銭目的の犯行だと思われます。
2-7. How(どのように)
現状では Termite ランサムウェアグループの詳細な TTP は不明ですが、Cleo 製品の脆弱性を使用しているという話が出ていますので、それぞれまとめます。
2-7-1 IoC/TTP
以下は、Cyjax(サイバーセキュリティ企業)の調査 を元にしています。現時点では IoC/TTP は特定されていません。
( 画像は Cyjax: 「The Devil and the Termite: data-leak sites emerge for Chort and Termite extortion groups」より引用。termite のデータリークサイト)
( 画像は Cyjax: 「The Devil and the Termite: data-leak sites emerge for Chort and Termite extortion groups」より引用。termite のサポートページ)
また、broadcom「Termite Ransomware」の情報によると、Termite ランサムウェアは Babuk の亜種であり、暗号化の後に .termite 拡張子をファイルに追加する模様です。
2-7-2 Cleo( ファイル転送ソフト ) の脆弱性 (CVE-2024-50623 / CVE-2024-55956)
セキュリティ研究家の「Kevin Beaumont」氏は、Termite ランサムウェアグループは Cleo LexiCom/VLTransfer/Harmony 向けのゼロデイエクスプロイトを所有しているという見解を示しています。
以下は、Cleo( ファイル転送ソフト ) の脆弱性 (CVE-2024-50623 / CVE-2024-55956) の解説になります。
およそ 2 ヶ月前の 2024/10/27 に、Cleo( ファイル転送ソフト ) が自社の製品の脆弱性 (CVE-2024-50623) と早急な更新をユーザに呼びかけていました。その後、2024/12/03 に、セキュリティ会社 Huntress により「Cleo の修正(CVE-2024-50623)が適用されているアプリケーションも攻撃に悪用されている」ことが観測されて、新たな脆弱性(CVE-2024-55956)のリリースと修正に繋がりました。
1. CVE 情報
公開された CVE は以下になります。
- CVE-2024-50623( 2024/10/27 に公開)
- 一次情報源 : Cleo:Cleo Product Security Advisory - CVE-2024-50623
- 対象アプリケーション
- Cleo Harmony/VLTrader/LexiCom の 5.8.0.21 より前のバージョン
- CVSS
- 9.8 Critical
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 該当のバージョンのアプリケーションでは、ファイルのアップロード・ダウンロードに制限が無かったため、リモートコード実行につながります。
- CVE-2024-55956
- 一次情報源 : Cleo:Cleo Product Security Update - CVE-2024-55956
- 対象アプリケーション
- Cleo Harmony/VLTrader/LexiCom の 5.8.0.24 より前のバージョン
- CVSS
- 9.8 Critical
- Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 該当のバージョンのアプリケーションでは、Autorun ディレクトリのデフォルト設定を使用することにより、ホストシステムで認証されていないユーザが Bash や PowerShell コマンドを導入して実行することができる可能性があります。
2. Shodan による Cleo の使用率確認
Shodan で Cleo 5.8.0.* を確認すると、日本では使用しているユーザはいませんが欧米では広く使われている模様です。
「https://www.shodan.io/search?query=Cleo+5.8.0.*」の結果
3. CISA-KEV
この脆弱性 (CVE-2024-55956) に関しては CISA でも既に悪用を観測しており、12/17 に CISA KEV に「ランサムウェアキャンペーンで使用されている脆弱性」として登録されています。
CISA「Known Exploited Vulnerabilities Catalog」より引用
4. 悪用について
現時点でこの脆弱性を悪用していると見られている脅威アクターで有名なものは以下になります。
- Cl0p ランサムウェアグループ
- Termite ランサムウェアギャング
2-8 防御と緩和策
一般的なランサムウェア対策としての、下記の様な項目が防御と緩和策になると思われます。
- マルウェア対策ソフトウェアやその他のセキュリティツールの使用
- システムの更新とパッチ適⽤
- 従業員へのトレーニング
- 堅牢なバックアップおよびリカバリ計画
2-9. 参考情報
- Blue Yonder「Cybersecurity Incident Update 」
- BreachSense
- Termite Group Targets Département de La Réunion in Cyberattack
- Cyberplace.social「@GossiTheDog 」
- BreachSense「Blue Yonder Data Breach on December 10, 2024」
- CNN「Software company providing services to US and UK grocery stores says it was hit by ransomware attack」
- CNN「Starbucks forced to pay its baristas manually because of a ransomware attack on third-party software」
- Cyjax: 「The Devil and the Termite: data-leak sites emerge for Chort and Termite extortion groups」
- broadcom「Termite Ransomware」
- Cyberplace.social「@GossiTheDog 」
- Huntress:「Threat Advisory: Oh No Cleo! Cleo Software Actively Being Exploited in the Wild 」
- Cleo: 「Cleo Product Security Advisory - CVE-2024-50623」
- Cleo: 「Cleo Product Security Update - CVE-2024-55956」
- Shodan: 「Cleo 5.8.0.*」
- ZerofoxFlash Report: 「Cl0p Claims Responsibility for Zero-Day Exploitation」
- CISA: 「Known Exploited Vulnerabilities Catalog」
2024 年 11-12 月の脅威動向一覧
2024 年 11-12 月の脅威動向を見るために、以下で発生したインシデント・攻撃を羅列します。
- 国際関係に起因するインシデント・攻撃
- VoltTyphoon がボットネットを立て直している模様
- Microsoft が CVE-2024-43451(ウクライナで攻撃に使用された脆弱性)にパッチを当てた模様
- APT28 が「最近隣攻撃」でロシアから Wi-Fi 経由で米国企業に侵入
- アフリカの大規模な摘発作戦「Serengeti」により 1,000 人以上のサイバー犯罪者が逮捕
- ロシアのプログラマが FSB により Android マルウェアを埋め込まれる
- ルーマニアの選挙システムが 85,000 以上のサイバー攻撃の標的に
- ロシアの No Name057 がサイバー攻撃により英国陸軍のウェブサイトなどを無効化
- ルーマニアの発電所がランサムウェアにやられる
- Turla が Storm-0156 のマルウェアとサーバーをハイジャックして攻撃
- ロシアの Gamaredon が新たなマルウェアで Android を狙う
- ロシアが Viber を禁止に
- CISA と EPI が水道施設の HMI( ヒューマンインターフェース ) の露出を制限する共同声明
- マルウェア・ランサムウェア・その他のインシデント・攻撃
- LastPass、顧客データを盗もうとする偽のサポートセンターを警告
- LA の公営住宅局「ロサンゼルス住宅局(HACLA)」が Cactus に攻撃される
- FreeBSD をターゲットとした Interlock ランサムウェアオペレーション
- コロンバス市、7 月のランサムウェア攻撃で 50 万人に影響があったとの発表
- 小さな QEMU の Linux バックドアを送り込むフィッシング
- DocuSign の Envelopes API を悪用して本物の偽の請求書を送信
- Nokia、ハッカーがコードを盗んだという話があり調査を開始
- ワシントンの司法情報システムが停止
- 新たな Steelfox トロイの木馬が重要なデータを盗み仮想通貨マイニングを行う
- Void Arachne は Winos 4.0 C&C フレームワークで中国語ユーザーを標的に
- Halliburton が 8 月のランサムウェア攻撃で 3,500 万ドルの損失
- Amazon が昨年の MOVEit によるデータ侵害を認める
- GitHub へのコードコミットによる攻撃
- 米国の宇宙関連企業大手 Maxar がデータ侵害を公開
- 中国の攻撃者 BrazenBamboo が FortiClient を悪用するマルウェア DEEPDATA を作成して認証情報を盗む
- Helldown ランサムウェアが Zyxel VPN の欠陥を悪用してネットワークに侵入
- D-Link が脆弱性が出ている EoL 製品について廃棄を勧める
- Ford が顧客データ漏洩を受けて侵害疑惑を調査
- BlueSky が暗号通貨詐欺に悪用される
- Microsoft が DigitalDefenseReport2024 を公開
- CISA が BianLian ランサムウェアグループの情報をアップデート
- Linux マルウェア「WolfsBane」
- ロシアの RomCom グループが Firefox/Windows のゼロデイ脆弱性を悪用
- 「NachoVPN」攻撃により PaloAlto/SonicWall に悪意のあるアップデートがされる可能性
- Linux 用の UEFI Bootkit マルウェア「Bootkitty」が発見される
- UK の病院ネットワークがサイバー攻撃により医療措置が遅延する
- ロシアが HydraMarket(Darkweb) の首謀者に終身刑を宣告
- Mitel MiCollab のゼロデイ脆弱性の悪用が観測される
- Scattered Spider サイバーギャングの一員が US で逮捕
- Amazon.com でのデータ侵害の疑いでユーザーの機密情報が流出
- ランサムウェア攻撃が大手心臓手術装置メーカーを襲う
- ドーナッツの「Krispy Kreme」が 11 月末にサイバー攻撃に
- Bitcoin ATM 運営会社が GitLab の脆弱性を悪用されてシステム侵害か
- IOCONTROL という IoT/OT 向けのマルウェア
- ロードアイランド州が Brain Cipher ランサムウェアグループによる攻撃を受ける
- ConnectOnCall が 5 月に攻撃により 91 万人の患者データを流出していたことを公表
- 悪意のある広告が偽の CAPTCHA ページを介して Lumma インフォスティーラーをプッシュ
- HiatusRAT マルウェアの情報 (FBI)
- CISA が MS 365 のセキュリティ強化を連邦システムに義務付ける
- Google カレンダーを悪用してスパム フィルターを回避するフィッシング攻撃が進行中
- BeyondTrust(特権アクセス管理 (PAM) と安全なリモート アクセス ソリューションを専門とするサイバーセキュリティ会社)がサイバー攻撃に遭う
- PaaS(Phishing-as-a-Service)の Rockstar2FA が終了し「FflowerStorm」が台頭
この記事の著者
OSS/ セキュリティ / 脅威インテリジェンスエバンジェリスト
面 和毅