10月22日:サイバーセキュリティ関連ニュース
モルドバの選挙が「前例のない」妨害工作の標的に
The Record – October 21st, 2024
大統領選挙とEU加盟の国民投票を目前に控えたモルドバで先週、同国議会のメールサーバーがサイバー攻撃に見舞われた。
広報担当官の話によると、このインシデントが確認されたのは17日で、同議会の情報の一部が侵害されたこと以外に詳細は明らかになっていない。現在は地元のサイバーセキュリティ専門家が攻撃の目的と影響を調査しており、盗まれたデータが改ざんされ、虚偽情報としてオンラインに流出していないかどうかを監視しているという。
モルドバの議会を狙ったサイバーインシデントは、選挙が近づくにつれてこれまで以上に増えていたようだ。今回の攻撃の背後に潜む脅威アクターは特定されていないものの、最も疑わしいのはロシア。同国は、分離独立地域のトランスニストリア(沿ドニエストル共和国)を支配するモルドバにハイブリッド戦争を仕掛けているとして非難されている。
両選挙は20日に投票が行われ、大統領選では現職のマイア・サンドゥ大統領が当選に必要な過半数に届かず、11月に決選投票を行う見通しとなった。一方、EU加盟の是非を問う国民投票では、賛成票が予想に反して過半数をわずかに超える50.39%にとどまっている。
サンドゥ大統領はこの結果について、外部からの「前例のない」干渉によるものとし、「モルドバの国益に敵対する外国勢力」と共謀した犯罪集団が30万票の買収を企てた「明白な証拠」があると主張した。
法執行活動による混乱を経て、Bumblebeeマルウェアが復活
BleepingComputer – October 21, 2024
欧州刑事警察機構(ユーロポール)の「Operation Endgame」で差し押さえられた今年5月以降、しばらく姿を消していたBumblebeeマルウェアローダーが最近の攻撃で発見された。
TrickBotの開発者が作成したと考えられているBumblebeeは、被害者のネットワークへのアクセスを可能にするBazarLoaderバックドアの後継として2022年に登場。通常はZoom、Cisco AnyContent、ChatGPT、Citrix Workspaceといったソフトウェアを宣伝するフィッシングやマルバタイジング、SEOポイズニングを介して感染し、Cobalt Strikeビーコン、情報窃取型マルウェア、さまざまなランサムウェアなどのペイロードを配信する。
サイバーセキュリティ企業Netskopeの研究者によると、最新の攻撃チェーンはフィッシングメールから始まり、被害者に有害なZIPアーカイブをまずダウンロードさせる。この圧縮ファイルにはReport-41952.lnkという.LNKショートカットが含まれており、これがPowerShellをトリガーして正規のNVIDIAドライバーのアップデートまたはMidjourneyインストーラーを装った有害な.MSIファイル(.ymsi)をリモートサーバーからダウンロード。その後に/qnオプションを指定したmsiexec.exeを使ってMSIファイルが密かに実行されるため、このプロセスはユーザーの介入なしに実行されるという。
NetSkopeはBumblebeeが投下したペイロードやキャンペーンの規模に関する情報を提供していないが、今回のレポートは再流行の兆しに対する警告として受け止められているようだ。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠