10月26日:ロシア-ウクライナ関連ニュース
ロシアグループWinter Vivern、Roundcubeのゼロデイ利用しヨーロッパの政府機関を標的に:CVE-2023-5631
BleepingComputer – October 25, 2023
ロシアのハッキンググループWinter Vivernは遅くとも10月11日以降、ヨーロッパの政府機関やシンクタンクを標的とする攻撃でWebメールクライアントRoundcubeにおけるクロスサイトスクリプティングのゼロデイ脆弱性CVE-2023-5631を悪用しているという。このキャンペーンについて報告したESETによると、攻撃はOutlook Teamが送信元であるかのように見せかけたフィッシングメールによって開始される。騙された受信者がメールを開くと、CVE-2023-5631を悪用する第一段階のペイロードが自動的に起動するのだという。攻撃者はこうしてRoundcubeサーバーを侵害し、最終段階のJavaScriptペイロードを利用してこのサーバーからEメールメッセージを盗み取る。
Winter Vivernは2021年4月に発見されたグループで、インドやイタリア、リトアニア、ウクライナ、バチカンといった国々の政府機関を標的にしてきた。その活動目的はベラルーシやロシア政府の利害と合致しているとも指摘されている。またWebメールクライアントの脆弱性を悪用するのは今回が初めてではなく、これまでの活動では、ZimbraにおけるXSSの脆弱性CVE-2022-27926やRoundcubeにおける上記とは別のXSSの脆弱性CVE-2020-35730を悪用しているのが観測されていた。Winter Vivernが頻繁にフィッシングキャンペーンを実施していること、また脆弱性を含んでいるにもかかわらず日常的なアップデートがなされていないアプリケーションがかなりの数存在することを踏まえ、ESETは、「ヨーロッパの政府組織にとってWinter Vivernは脅威である」と指摘している。
関連記事:ロシアのハッカーグループWinter Vivernによって悪用されるZimbraの脆弱性についてCISAが注意喚起(CVE-2022-27926)
ロシア人アーティストのSpotifyアカウントが、親ウクライナ派ハッカーに改変される
The Record – October 26th, 2023
親ウクライナ派のハッカーグループが、ロシアの有名なミュージシャン数人のSpotifyアカウントを侵害し、プロフィール写真をウクライナのラッパーの画像や、ウクライナの国旗を表す黄色と青色のバナーに差し替えて、ロシアのウクライナ戦争を止めろという内容のメッセージを添えた。この攻撃では、ロシアやウクライナ戦争への支持を表明していた最も有名なロシアのアーティストたちが標的にされたという。Spotifyは直ちにこれを修正したと述べたが、26日時点ではまだ修正が反映されていないアカウントもあり、同社によると、いずれ元の状態に戻るとのこと。Spotifyへのハッキングを行っているのはウクライナのハッカーだけでない。先週にはロシアのハッカーグループが、英国を拠点とするアーティストをハッキングしたと主張したばかり。これらのハッカーによる攻撃方法は不明だが、セキュリティの専門家らによると、アーティストのマネージャーを装って認証済みでないアカウントにアクセスしたり、ログイン認証情報を入手したりするなどいくつかの方法が考えられるとのこと。