10月10日:サイバーセキュリティ関連ニュース
イスラエル・ハマス間の戦闘に複数ハッカーがサイバー攻撃で参戦
SecurityWeek – October 9, 2023
7日にハマスがイスラエルに対して奇襲攻撃を行なって以降、両者間での戦闘は激化し、死傷者も多数出始めている。この戦闘に、各陣営を支持するハクティビスト(ハッカー)グループも参戦し、さまざまな標的に対してDDoS攻撃などを実施しているという。サイバーセキュリティコンサルタントのJulian Botham氏によれば、これまでに実施/宣言された攻撃やハッカーたちの動きには以下が含まれるとされる。
<イスラエル側に対する攻撃・動き>
・ロシア関連グループ「Anonymous Sudan」による、緊急警報システムを狙った攻撃。同グループはイスラエルの警報アプリケーションをテイクダウンしたと主張。
・Anonymous Sudanによる、イスラエルの日刊英字新聞「エルサレム・ポスト」を狙った攻撃。
・親ハマス派グループ「Cyber Av3ngers」による、イスラエルの電力網組織Israel Independent System Operator(NOGA)を狙った攻撃。同グループは、NOGAのネットワークを侵害してWebサイトを停止させたと主張。
・Cyber Av3ngersによる、イスラエル電力公社を狙った攻撃。
・親ロシア派グループKillnetによる、イスラエル政府の複数Webサイトを狙った攻撃。
・パレスチナのハッカーグループ「Ghosts of Palestine」が、イスラエルと米国の民間・公共インフラへの攻撃を世界中のハッカーに呼びかけ。
・ハッカーグループ「Libyan Ghosts」が、イスラエルの複数Webサイトの改ざんを開始。
<ハマス側に対する攻撃・動き>
・親イスラエル派グループ「ThreatSec」が、ガザを拠点とするISPのAlfaNetのインフラを侵害したと主張。
・インドを拠点に活動する複数のハクティビストによる、パレスチナ政府サイトに対する攻撃。これにより一部サイトがアクセス不能に。
・グループ「Garuna」がイスラエル支持を宣言。
・グループ「TeamHDP」による、ハマスのWebサイトやガザ地区のイスラム大学に対する攻撃。
HelloKittyランサムウェア(2020年版)のソースコードがリークされる
BleepingComputer – October 09, 2023
「kapuchin0」というユーザー名を用いる脅威アクターがハッキングフォーラム「XSS」上にHelloKittyランサムウェアのソースコードをリークしたと、サイバーセキュリティ研究者「3xp0rt」が報じた。HelloKittyは2020年11月から活動するランサムウェアオペレーションで、データの窃取および暗号化と恐喝を行う二重恐喝戦術を用いることで知られている。
3xp0rtによればkapuchin0は「Gookee」というユーザー名も使っているとされるが、アクターGookeeは過去にSony Network Japanへのアクセスを販売しようとしたり、「Gookeeランサムウェア」というRaaSオペレーションとの関与が指摘されたりしていたという。kapuchin0は今回、「我々は新たな、Lockbitよりよほど興味深い商品を準備中だ」と述べつつHelloKittyのソースコードとされるものを共有しており、3xp0rtは、kapuchin0/Gookee自身がHelloKittyランサムウェアの開発者だと考えているという。
共有されたアーカイブ「hellokitty.zip 」にはHelloKittyの暗号化ツール/復号ツールを構築するMicrosoft Visual Studioソリューションと、NTRUEncryptライブラリが含まれており、ランサムウェア専門家のMichael Gillespie氏は、このコードがHelloKittyグループが実際に使っていた本物のソースコードであることを確認している。こうしたコードはセキュリティ研究者にとって有用である一方、悪意ある脅威アクターらが独自のバージョンのHelloKittyランサムウェアを作り出すことを可能にするものでもある。
404エラーページ悪用しカード情報盗む新たなMagecartキャンペーン
BleepingComputer – October 09, 2023
Magecartの新たなキャンペーンにおいて、オンライン販売サイトの404エラーページを乗っ取り、隠された悪質なコードで顧客のクレジットカード情報を盗み出すという手法が用いられているのをAkamaiの研究者が観測。
このキャンペーンで狙われるのは、主にMagentoおよびWooCommerceのサイト。攻撃者は、Metaピクセルコードに見せかけたり、インラインスクリプト内に隠したりしてあるローダーによって404ページを呼び出すが、このページのコメントにはbase64エンコードされたJavaScriptスキマーが隠されているという。そしてスキマーコードは偽の決済フォームを表示し、Webサイト訪問者にクレジットカード番号、有効期限、セキュリティコードなどの情報を入力させようとする。偽フォームにこれらのデータが入力されると、サイト訪問者は偽の「セッションタイムアウト」エラーを受け取るが、バックグラウンドでは、すべての情報はbase64エンコードされ、攻撃者に送信されるのだという。
研究者によれば、このテクニックは非常に革新的で、これまでのMagecartキャンペーンでは見られなかったものだという。典型的なMagecartの攻撃はWebサイトの脆弱性やサードパーティサービスの脆弱性を悪用することで開始されるが、今回のキャンペーンではWebサイト自体が直接悪用されるため、セキュリティツールによる検出が困難になると考えられる。Akamaiのレポートには、404ページを悪用する手法の詳細のほか、新たに観測されたもう2種類の手法についての解説も記載されている。