脅威アクター「Zestix」による企業データ窃盗
サイバー犯罪者グループ「Zestix」が、企業向けファイル共有サービスを標的にしたデータ窃盗で数十社から企業情報を盗み出し、闇市場で販売していることが明らかになりました。攻撃対象となったサービスは、ShareFile、Nextcloud、OwnCloudなど多岐にわたります。
初期アクセス経路とその手口
サイバー犯罪インテリジェンス企業Hudson Rockによると、Zestixは従業員のデバイスに展開されたRedLine、Lumma、Vidarなどの情報窃取型マルウェア(インフォスティーラー)によって収集された認証情報を利用して、初期アクセスを獲得した可能性が高いとのことです。これらのインフォスティーラーは、マルバタイジングキャンペーンやClickFix攻撃を通じて拡散されることが一般的です。これらのマルウェアは、通常、Webブラウザに保存されたデータ(認証情報、クレジットカード情報、個人情報)や、メッセージングアプリ、仮想通貨ウォレットなどを標的にします。
有効な認証情報であっても、多要素認証(MFA)が設定されていない場合、脅威アクターはファイル共有プラットフォームなどのサービスに不正アクセスすることが可能になります。Hudson Rockの報告では、分析された盗難認証情報の一部が数年前から犯罪データベースに存在しており、認証情報の定期的な更新や、長期間にわたるアクティブセッションの無効化が不十分であったことが示唆されています。
狙われた業界と盗まれたデータの種類
Zestixは、航空、防衛、ヘルスケア、公益事業、公共交通機関、電気通信、法律、不動産、政府機関など、多様な業界の組織が使用するShareFile、Nextcloud、OwnCloud環境を侵害したとされています。Zestixが提供を広告している盗難データには、数十ギガバイトから数テラバイトに及ぶ膨大な量が含まれており、その内容は以下のような極めて機密性の高い情報です。
- 航空機の整備マニュアルおよびフリートデータ
- 防衛およびエンジニアリング関連ファイル
- 顧客データベース
- 健康記録
- 公共交通機関の設計図
- 公益事業のLiDARマップ
- ISPネットワーク構成
- 衛星プロジェクトデータ
- ERPソースコード
- 政府契約
- 法的文書
これらのファイルが流出することは、組織にセキュリティ、プライバシー、産業スパイのリスクをもたらし、特に政府契約の露出は国家安全保障上の懸念を引き起こす可能性があります。
広範なセキュリティ問題と対策の必要性
Hudson Rockは、Zestixが「Sentap」という別名でも活動しており、さらに30の被害者を特定していると報告していますが、これらは検証が完了していません。研究者たちは、この問題が単一の脅威アクターによるものではなく、組織が適切なセキュリティ慣行に従わないことによって生じる広範でシステム的な「クラウド曝露」の問題であると指摘しています。
実際、Hudson Rockの脅威インテリジェンスデータは、Deloitte、KPMG、Samsung、Honeywell、Walmartなどの大手企業を含む数千台の感染したコンピューターを特定しています。Hudson Rockは、検証済みの曝露についてShareFileに通知し、NextcloudとOwnCloudにも警告を発する予定であるとBleepingComputerに語っています。
企業は、認証情報のローテーション、MFAの導入、情報窃取型マルウェアへの対策など、より厳格なセキュリティ対策を講じることが急務となっています。