-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
9月13〜16日:サイバーセキュリティ関連ニュース
新ランサムウェアHybridPetya、CVE-2024-7344のエクスプロイトでUEFIセキュアブートをバイパス
The Hacker News – Sep 12, 2025
悪名高いランサムウェアPetya/NotPetyaに似た新たなランサムウェア種「HybridPetya」を、ESETのサイバーセキュリティ研究者らが発見。同ランサムウェアのいくつかの亜種は、脆弱性CVE-2024-7344を使ってUEFIに搭載されたセキュアブートメカニズムをバイパスする性能を持つという。
ESETによれば、HybridPetyaはPetya/NotPetyaとは異なり、EFIシステムパーティション上に悪意あるEFIアプリケーションをインストールすることで、UEFIベースの最新システムを侵害することができるとされる。つまり、このアプリケーションにより、NTFS形式にフォーマットされたパーティション上の全ファイルに関連するメタデータを含むMFTファイルを暗号化することが可能になっているという。
暗号化の最中には被害者のスクリーンに偽のCHKDSKメッセージが表示される点も特徴で、これは被害者にシステムがディスクのエラーを修復中だと思い込ませることを狙いとしている。またESETは、暗号化完了時に投下されるランサムノートにも言及。「34UNkKSGZZvf5AYbjkUa2yYYzw89ZLWxu2」という現在は空のウォレットへ1,000ドル相当のビットコインを送金するよう要求する旨が記されていることや、ランサムウェアオペレーターから購入した復号鍵を被害者が入力するためのオプションが用意されていることなどを明かした。入力された鍵が正しいものであれば、復号のステップが開始されるという。
また、HybridPetyaのいくつかの亜種については、Howyar 製UEFI アプリケーション「Reloader」における署名されていないソフトウェアを実行する脆弱性であるCVE‑2024‑7344を悪用することもわかっている。これは、セキュアブートのバイパスを可能にし得るRCEの脆弱性で、2025年1月に開示・修正されている。
ESETによれば、2025年2月にサンプルがVirusTotalにアップされていたものの、HybridPetyaが実際の攻撃で使われている証拠はないとみられるとのこと。
アクター「WhiteCobra」、暗号資産窃取する拡張機能をVSCode、OpenVSXに大量展開
BleepingComputer – September 13, 2025
「WhiteCobra」と呼ばれる脅威アクターがVisual StudioマーケットプレイスおよびOpen VSXに悪意ある拡張機能を展開し、VSCode、Cursor、Windsurfのユーザーから暗号資産を盗み取ろうとしているとKoi Securityが報告。このキャンペーンは現在も進行中で、WhiteCobraは削除されている拡張機能の代わりに新たな悪性コードを継続的にアップロードしているという。
この攻撃は、WhiteCobraが悪意あるVSIX拡張機能を作成するところからスタート。VSIX拡張機能はVS CodeマーケットプレイスおよびOpenVSXで公開される拡張機能向けのデフォルトのパッケージフォーマットで、VSCode、Cursor、Windsurfのいずれのコードエディターもこれに対応している。Koi Securityによれば、WhiteCobraは入念に作り込まれたディスクリプションを用意し、ダウンロード回数をかさ増しすることにより、不正な拡張機能を正規で無害なもののように見せることに成功しているという。
Koi Securityは、WhiteCobraのキャンペーンで使われる悪意ある拡張機能の一部として以下を共有している。
<Open-VSX(Cursor/Windsurf)>
- ChainDevTools.solidity-pro
- kilocode-ai.kilo-code
- nomic-fdn.hardhat-solidity
- oxc-vscode.oxc
- juan-blanco.solidity
- kineticsquid.solidity-ethereum-vsc
- ETHFoundry.solidityethereum
- JuanFBlanco.solidity-ai-ethereum
- Ethereum.solidity-ethereum
- juan-blanco.solidity
- NomicFdn.hardhat-solidity
- juan-blanco.vscode-solidity
- nomic-foundation.hardhat-solidity
- nomic-fdn.solidity-hardhat
- Crypto-Extensions.solidity
- Crypto-Extensions.SnowShsoNo
<VS Codeマーケットプレイス>
- JuanFBlanco.awswhh
- ETHFoundry.etherfoundrys
- EllisonBrett.givingblankies
- MarcusLockwood.wgbk
- VitalikButerin-EthFoundation.blan-co
- ShowSnowcrypto.SnowShoNo
- Crypto-Extensions.SnowShsoNo
- Rojo.rojo-roblox-vscode
これらの拡張機能により展開されるペイロードはプラットフォームよって異なり、Windows上では最終的にLummaStealerマルウェアが実行される。LummaStealerは暗号資産ウォレットアプリのほか、Web拡張機能やWebブラウザ内に保存された認証情報、メッセージングアプリデータなどを窃取できるインフォスティーラー。またmacOSの場合には悪意あるMach-Oバイナリによって、未知のマルウェアファミリーがロードされるという。
Koi SecurityはWhiteCobraの内部マニュアルも入手しており、収益目標が1万〜50万ドルに設定されていることや、C2インフラのセットアップガイドが含まれていること、またソーシャルエンジニアリングやマーケティング戦略に関する記載もあることなどを伝えている。この事実は、WhiteCobraが組織的に運営されており、摘発やテイクダウンなどの措置で活動を阻害されてはいないことを示す。現にKoi Securityによれば、WhiteCobraは3時間以内に新たなキャンペーンを展開する能力を有しているとされる。
拡張機能の評価やダウンロード数、レビューは改ざんされる恐れがあることから、リポジトリで入手可能な悪意ある拡張機能と正規の拡張機能とを区別するにはより優れた検証メカニズムが必要になるとKoi Securityは警告している。
とは?.jpg)
