MOVEitを悪用したCLOPの脅威ベクトルをDNSインテリジェンスで特定

MOVEitのゼロデイ脆弱性を悪用して複数の脅威アクターグループが破壊活動を展開していますが、CLOPランサムウェアグループはまさにそのうちの1つです。¹ CLOPランサムウェアの運用者は、MOVEitの脆弱性を悪用してインターネットに接続されたデータベースにアクセスし、その構造やコンテンツを推測します。

MOVEitを利用したCLOPランサムウェア攻撃に関するセキュリティ侵害インジケーター（IoC）は、6月に入ってから合計139件公開されています。

WhoisXML APIはこれをもとに、さらに多くの未公開アーティファクトを見つけ出すため、当社の広範囲なDNSインテリジェンスを駆使して詳細な調査を行いました。

この調査の結果、以下を発見しました。

• IoCとして特定されたIPアドレスのうち17個は専用ホスト。そのうち4個は悪意あるアドレスと確認
• IoCとして特定されたドメイン名の一部をホストしていた10個のIPアドレスのうち、5個は専用アドレス。そのうち4個は悪意あるアドレスと確認
• IoCとされた2つのドメイン名と同様にzoomという文字列を含んだ6,600超のドメイン名。そのうち60個近くは悪意あるキャンペーンで使用された可能性があることをマルウェアチェックで確認

脅威リサーチ資料のサンプルをこのページでダウンロードできます。調査資料一式をご希望のお客様は、こちらまでお気軽にお問い合わせください。

—

• [1] https://www.centripetal.ai/blog/cleaninternet-protects-customers-from-moveit-vulnerability/
• [2] https://otx.alienvault.com/pulse/6486ab4376446c17e1cdc618
• [3] https://otx.alienvault.com/pulse/6480db093f4a3abcd042e873