Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

Cl0pが再びサプライチェーンを悪用。

2025年10月7日
Lucie Cardiet
サイバー脅威リサーチマネージャー
Cl0pが再びサプライチェーンを悪用。

何度も活動を停止していたCl0pランサムウェア・グループが最近再浮上し、Oracle E-Business Suiteの顧客をターゲットにした恐喝キャンペーンに関連していると報じられた。Scattered LapsusHunters関与している可能性を示唆する証拠もあるなど、その関連性については議論が続いているが、このグループはサプライチェーンの脆弱性を悪用することで知られている。彼らの過去のキャンペーンは、金融から政府まで業界を横断し、一度の掃討作戦で数百の企業を危険にさらした。Cl0pのカムバックは、ランサムウェア戦略が信頼できるテクノロジーを悪用した組織的なものへと変化し続けていることを示すものであり、世界中のCISOやセキュリティ・チームにとって優先事項となっている。

Cl0Pの年表:2019年から2025年まで

2019年:初登場と序盤の注目アタック

  • 2019年2月 最初の出頭 Cl0pが最初に確認されたのは、TA505犯罪ネットワークの一部として動作していた。研究者たちが最初にCl0pランサムウェアを確認したのは、このグループがスピアフィッシング 電子メールを使って、デジタル署名されたランサムウェアのバイナリを配信した。このmalware CryptoMixの子孫であり、被害者のファイルに.Cl0pなどの拡張子を付けていた。
  • 2019年12月 - 公表された最初の大きな被害者:2019年12月、マーストリヒト大学の数百のWindowsシステムが暗号化された。同大学は復号化のために20万ユーロを支払った。

2020:サプライチェーン搾取の始まり

  • 2020年1月 - アクセリオンFTAの悪用: Cl0pは、アクセリオンのレガシーFile Transfer Appliance(FTA)のzero-day 悪用し、DEWMODEウェブシェルを展開してデータを盗み出しました。被害者は、Jones Day、Kroger、Qualys、Singtelなどでした。このキャンペーンでは、Cl0pの二重の恐喝モデルが導入され、盗まれたデータの公開が脅かされました。
  • 2020年4月-初の公的データ流出: 製薬会社から盗まれたデータが流出し、Cl0pが初めて公にした二重の恐喝事件となる。2021:拡大と法執行措置
  • 2021年4月 - SolarWindsの悪用: Cl0pは、SolarWindsServ-UソフトウェアのCVE-2021-35211を悪用し、ネットワークを侵害し、ランサムウェアのペイロードを展開しました。
  • 2021年6月16日 - 法執行機関が逮捕:ウクライナ当局は米国と韓国の支援を受け、Cl0pのマネーロンダリング業務に関連する6人を逮捕。当局はコンピューターと高級車を押収し、5億ドル以上の恐喝を主張した。研究者たちは、今回の逮捕ではCl0pの中核となる開発者は逮捕されなかったと指摘した。この後、Cl0pのリークサイトは数ヶ月間沈黙した。

2022年:新しい感染ベクターによる再発明

  • 2022年後半 - Raspberry Robinの感染: マイクロソフトは、Cl0pの関連会社が初期アクセスにRaspberry Robinworm 活用していることを報告。2023:世界規模の悪用キャンペーン
  • 2023年1月 - GoAnywhere MFTキャンペーン:Cl0pは、FortraのGoAnywhere MFTのzero-day 悪用し、LEMURLOOTウェブシェルを展開し、Rubrikやトロント市を含む~130の組織からデータを盗み出しました。
  • 2023年3月 - PaperCut の悪用:印刷ソフトウェア PaperCut のCVE-2023-27350 が悪用され、Truebot ダウンローダーを通じて Cl0p および LockBit ペイロードが配信されました。
  • 2023年5月~6月 - MOVEit Transferのzero-day: Cl0pがMOVEit TransferのCVE-2023-34362を LEMURLOOTバックドアで悪用し、米国連邦政府機関、BBC、ジョンズ・ホプキンス大学、ゼリス、アーンスト・アンド・ヤングを含む数千の組織に影響。CISAは、米国内の被害者は3,000人以上、世界全体では8,000人以上と推定している。

2024:データのみの強奪への戦術シフト

  • 2024年12月 - Cleoファイル転送の悪用:MOVEitの後、比較的静かだった後、Cl0pがCleoLexiCom、VLTrader、およびHarmonyのCVE-2024-50623およびCVE-2024-55956を悪用しました。Cleoは4,200人以上の顧客にサービスを提供しており、約390のシステムが暴露されました。Cl0pは60人以上の犠牲者を出し、当初はBlue Yonderと命名した。これは、データ窃盗に焦点を当てた、暗号化を使用しない恐喝へのシフトを示しました。

2025:新たなキャンペーンとアトリビューションの不確実性

  • 2025年9月29日 - Oracle E-Business Suite 恐喝キャンペーン:攻撃者は、Oracle EBS の顧客に恐喝メールを送り、Cl0p との関係を主張し、CVE-2025-61882を悪用しました。連絡先の詳細の一部はCl0pのリーク・サイトと一致しましたが、帰属については争われています。オラクルの侵害の指標に埋め込まれたファイル名は「scattered_lapsus_retard_cl0p_hunters」を参照しており、これはリークされた概念実証コードと改ざんメッセージの両方に現れるフレーズである。このタグは、単一の協調キャンペーンというよりも、Scattered Spider、 Lapsus$、 ShinyHunters Cl0pに関連する脅威アクター間のグループ間の対立やなりすましを反映している可能性が高い。これは、エクスプロイトを交換し、帰属を操作するために公衆の嘲笑を使用するランサムウェアグループとデータ強要行為者の間の重複が拡大していることを示しています。
オラクルCVEで観測されたIOCを示す表
散在するHunters言及を示すオラクルCVEのIOC

進化するCl0pの戦術と技術シフト

Cl0pの最新のキャンペーンは、いくつかの分野で洗練されている:

  • ベンダー製品の脆弱性を迅速に悪用することは、高度な脆弱性調査やインサイダー知識へのアクセスを示唆している。
  • 従来のデータ損失防止(DLP)ツールをバイパスするように設計された暗号化された送信トラフィックの証拠により、よりステルス性の高いデータ流出
  • センシティブなファイルやデータベースをより選択的に狙うことで、より迅速な恐喝を可能にする。
Cl0pランサムウェアグループが使用する戦術テクニックと手順を示す表
Cl0pが使用したTTP

Cl0pからの防御:予防と検出

初期アクセスの防止

Cl0pのキャンペーンは一貫して、マネージドファイル転送(MFT)ソフトウェアやその他のインターネット向けアプリケーションの弱点を悪用しています。侵害の可能性を減らすために

  • 厳格なパッチ適用サイクルを維持する:特に MOVEit、GoAnywhere、Accellion、Cleo などの MFT ソリューションについては、セキュ リティアップデートを迅速に適用する。米国の KEV(Known Exploited Vulnerabilities)カタログを監視し、必須パッチ勧告を確認する。
  • 攻撃対象領域を減らす: ファイル転送システムへの外部アクセスをセグメント化または制限する。可能であれば、サービスを直接インターネットに公開するのではなく、VPNまたはzero trust (zero trust Network Access)チャネルへのアクセスを制限する。
  • フィッシング 導入する:Cl0pは主にソフトウェアを悪用しますが、スピアフィッシング も彼らのツールキットの一部となっている。多層的なメールフィルタリング、MFA、セキュリティ意識の向上がリスクを軽減する。
  • ベンダーとサプライチェーンの管理 サードパーティによる MFT ツールの使用を評価する。Cl0pの悪用は、多くの場合、接続された環境を通じて連鎖するため、パートナーに厳格なパッチ適用と監視の実践を求める。

Cl0pの侵入を検知し対応する

防御が万全な組織であっても、zero-day 悪用に対する課題に直面しています。Cl0pがアクセス権を獲得した場合、データの盗難や恐喝が拡大する前に早期に検知することが重要です。セキュリティチームは、継続的な侵害を明らかにする行動に焦点を当てるべきです:

  • クレデンシャルの不正使用: 管理者アカウントの異常な使用、度重なる認証の失敗、RDP/SMBの横方向の移動を調べる。
  • データのステージングと流出: 大規模なアウトバウンド転送、通常とは異なるポートでの暗号化されたアウトバウンドトラフィック、ユーザーディレクトリに現れる圧縮アーカイブを監視する。
  • 永続化と特権の昇格: アプリケーションサーバ上のウェブシェル、PowerShell の異常な動作、メモリ上の Mimikatz などの既知のツールに注意する。

Vectra AIはどのように守備をサポートするか

Vectra AIプラットフォームは、攻撃のライフサイクルの両段階で防御を強化する:

  • zero-day 攻撃後パッチが提供される前に脆弱性が悪用された場合でも、Vectra AIは、従来のシグネチャベースのツールが見逃していた異常なデータの移動や権限の昇格を検知 ことができます。これにより、Cl0pがファイルを暗号化したり、盗まれたデータを公開したりする前に、SOCチームが対応できるようになります。
  • ランサムウェアの実行前にネットワーク、クラウド、およびアイデンティティ環境全体にわたるアイデンティティの不正使用、横移動、および流出パターンを監視することにより、Vectra AIは、Cl0pの活動が進行中であることを示す行動を浮上させます。
  • エージェントレスの可視性:カバー範囲はエンドポイントエージェントに依存しないため、MFTシステムまたはパートナーに接続された環境がEDRでインスツルメンテーションされていないシナリオでは不可欠です。

Oracleの悪用がCl0pによるものであれ、Scattered LapsusHuntersものであれ、このキャンペーンは、厳格なパッチを適用してもzero-day 悪用のリスクを完全に排除できないことを強調している。初回アクセス後の迅速な検知と封じ込めが不可欠です。サプライチェーンの管理を強化し、ビヘイビアベースの検知と対応を採用することは、このような進化する脅威活動の影響を最小限に抑えるための鍵となります。

Vectra AIプラットフォームがこのようなアプローチをどのようにサポートするかについては、セルフガイド式のデモをご覧ください。

よくあるご質問(FAQ)