偽物版KeePassのダウンロードがESXiのランサムウェア感染に発展

佐々山 Tacos

2025.05.20

5月20日：サイバーセキュリティ関連ニュース

偽物版KeePassのダウンロードがESXiのランサムウェア感染に発展

BleepingComputer – May 19, 2025

オープンソースのパスワードマネージャーKeePassのトロイの木馬版に端を発するランサムウェア攻撃事例について、WithSecureの脅威インテリジェンスチームが報告。同チームがKeeLoaderと名付けたこのトロイの木馬は、Cobalt Strikeローダーおよび情報スティーラーとして機能するものだったという。

最終的にVMware ESXiサーバーのランサムウェア関連に発展したこの攻撃の初期アクセスベクターとして使われた悪性KeePassインストーラーは、Bing広告を通じて宣伝されていた偽ソフトウェアサイト（KeePass-info[.]aenys[.]com）で配布されていたもの。KeePassはオープンソースのツールであるため、脅威アクターはこのソースコードを改変してトロイの木馬版（KeeLoader）を作成。通常のパスワード管理機能に加えてCobalt Strikeビーコンのインストール機能およびパスワードデータベースのエクスポート機能を組み込むことができたという。KeeLoaderが平文として抜き取ったパスワードデータベースは、ビーコンを通じて盗み出される仕組み。

同社はまた、KeeLoaderの亜種を多数観測しており、これらが正規の証明書で署名されていることや、タイポスクワッティングの手法を用いたドメイン（keeppaswrd[.]com、keegass[.]com、KeePass[.]meなど）で拡散されていることを発見している。このうちkeeppaswrd[.]comについては、今なおアクティブな状態でトロイの木馬版KeePassインストーラーを配布し続けていることがBleepingComputerにより確認されている。

こうした攻撃から身を守るため、ユーザーには広告内のリンクから飛べるサイトを避け、正規サイトからソフトウェアをダウンロードすることが常に推奨される。今回のキャンペーンや、これと一部重複しているものとみられるより広範なインフラなどについての詳細は、ダウンロード可能なWithSecureのレポートで紹介されている。

フランス、ルーマニア大統領選への干渉疑惑めぐるTelegram CEOの発言内容を否定

The Record – May 19th, 2025

ルーマニア大統領選にフランスが干渉しようとしたことを仄めかすTelegram創業者パベル・ドゥーロフ氏の主張を、フランス当局が退けた。

ドゥーロフ氏は先週、フランス諜報機関のトップであるニコラス・ラーナー氏から、選挙に先駆けてルーマニアにおける保守派の声を検閲するよう依頼されたと主張。これに対しドゥーロフ氏は、「拒否した。我々はロシアやベラルーシ、イランでも抗議者の声をブロックしなかったのだ。ヨーロッパでもそのようなことをやり始めるつもりはない」と述べたという。

一方でフランス外務省は日曜日の声明において、「フランスはこれらの申し立てを断固として拒否し、すべての人にルーマニアの民主主義に対する責任と尊重を求める」と述べてドゥーロフ氏の発言内容を否定。加えて、ドゥーロフ氏の非難は「ルーマニアを標的とした妨害の真の脅威から目をそらさせるための作戦に過ぎない」とも主張した。なおこの「真の脅威」とは、同選挙をめぐって行われたと報じられている親ロシア派の影響力行使キャンペーンに言及したもの。このキャンペーンではTikTokなどのソーシャルメディアプラットフォームを使って極右候補のカリン・ジョルジェスク氏を後押しするための活動が展開されたと伝えられている。

調査ジャーナリストのChirsto Grozevしによれば、ドゥーロフ氏の発言はその後、ネット上での偽情報の急増を引き起こしたという。その中には、フランスがルーマニアへ侵攻していると伝える偽情報まであったとされる。なおルーマニアでは18日にやり直しの大統領選挙が実施され、親EUでリベラル派のニクショル・ダン氏が勝利している。