ハッカーは、イスラエルにおけるESETの独占的パートナーに侵入し、イスラエルの企業にフィッシングメールを送り、破壊的な攻撃を行うウイルス対策ソフトウェアを装ったデータワイパーを押し付けました。
データワイパーとは、コンピュータ上のファイルを意図的にすべて削除するマルウェアのことで、一般的にはパーティションテーブルを削除または破損してデータの復元を困難にします。
10月8日に開始されたフィッシング・キャンペーンでは、ESETのロゴでブランド化されたメールが正規のeset.co.ilドメインから送信され、攻撃の一環としてイスラエル部門のメール・サーバーが侵害されたことを示していた。
eset.co.ilドメインはESETのコンテンツとロゴでブランド化されているが、ESETはイスラエルのディストリビューターであるComsecureによって運営されていると説明している。
メールは「ESETのAdvanded Threat Defense Team」からのものであるかのように装い、政府の支援を受けた攻撃者が受信者のデバイスを標的にしようとしていることを警告しています。デバイスを保護するために、ESETは「ESET Unleashed」と呼ばれるより高度なアンチウイルスツールを提供し、脅威から保護します。
“あなたのデバイスは、現在、国家を後ろ盾とする脅威行為者に狙われているデバイスのリストの中から特定されました。ESETの脅威インテリジェンス部門が入手した情報によると、地政学的な動機に基づく脅威グループが、この電子メールの送信から14日以内にあなたのマシンを標的にしようとしていることが確認されました」と、.NETが入手したフィッシングメールに書かれている。
“ESETの高度な脅威防御プログラム(ESET-ATD)の一環として、ESETは高度な標的型脅威に対抗するために設計されたESET Unleashedプログラムへのアクセスを提供し、最大5台のデバイスにインストールすることができます。”
ソースは こちら:
フィッシングメールのヘッダーから、このメールはeset.co.ilの正当なメールサーバーから送信されており、SPF、DKIM、DMARCの認証テストに合格していることが確認されています。
ソースは こちら:
この攻撃の正当性をさらに高めるため、ダウンロードへのリンクはeset.co.ilドメインのhttps://backend.store.eset.co[.]il/pub/2eb524d79ce77d5857abe1fe4399a58d/ESETUnleashed_081024.zipのようなURLでホストされていたが、現在は無効になっている。
このZIPアーカイブ[VirusTotal]には、ESETの正規のコード署名証明書によってデジタル署名された4つのDLLファイルと、署名されていないSetup.exeが含まれています。
4つのDLLは、ESETのウイルス対策ソフトウェアの一部として配布されている正規のファイルです。しかし、Setup.exe[VirusTotal]は悪意のあるデータワイパーです。
ソースは こちら:
を仮想マシンでテストしようとしたが、実行ファイルは自動的にクラッシュした。
サイバーセキュリティの専門家であるKevin Beaumont氏は、物理的なPCで実行した方が成功率が高く、イスラエルの正規ニュースサイトwww.oref.org.il。
「etup.exeは悪意がある。etup.exeは悪意のあるもので、検知を逃れようとする明らかなテクニックの数々を使っている」とボーモント氏は説明する。
「etup.exeは悪意がある。例えば、Yanluowang恐喝/ランサムウェア・グループのMutexを使用している。
現時点では、このフィッシング・キャンペーンの標的となった企業の数や、ESETのイスラエル代理店であるComsecureがどのように侵入されたかは不明である。
Comsecure社のCEOを含む様々な人物にメールで問い合わせたが、まだ返答は得られていない。
この攻撃は、特定の脅威行為者やハクティビズムに起因するものではないが、データワイパーはイスラエルに対する攻撃で長い間よく使われてきたツールである。
2017年には、イスラエルの組織に対する攻撃でIsraByeと呼ばれる反イスラエル&親パレスチナのデータワイパーが発見された。
2023年、イスラエルは教育やテクノロジー分野を含む組織を標的としたBiBiワイパー攻撃の波に見舞われた。
これらの攻撃の多くはイランの脅威行為者と関連しており、その目的は収益を上げることではなく、むしろ混乱を引き起こし、イスラエル経済を混乱させることでした。
Comments