ハッカーがセキュリティ企業「ESET」になりすましてイスラエルの組織にフィッシングメールを送信、親パレスチナ組織の攻撃の可能性

by Aaron Fulkerson
スロバキアのセキュリティ企業・ESETのパートナー企業がハッキングを受け、PCのデータを消去するマルウェアであるワイパーに感染させることを目的としたフィッシングメールを、イスラエルの組織に送信していたことがわかりました。ハッカーの正体は不明ですが、親パレスチナ組織もしくはイランのハッカー集団と手口が似ていると、専門家は指摘しています。
EIW — ESET Israel Wiper — used in active attacks targeting Israeli orgs | by Kevin Beaumont | Oct, 2024 | DoublePulsar
https://doublepulsar.com/eiw-eset-israel-wiper-used-in-active-attacks-targeting-israeli-orgs-b1210aed7021
Hackers reportedly impersonate cyber firm ESET to target organizations in Israel
https://therecord.media/hackers-impersonate-eset-wiper-malware
Hacker Hits ESET's Partner in Israel to Send Malware That Can Wipe PCs | PCMag
https://www.pcmag.com/news/hacker-hits-esets-partner-in-israel-to-send-malware-that-can-wipe-pcs
ESET partner breached to send data wipers to Israeli orgs
https://www.bleepingcomputer.com/news/security/eset-partner-breached-to-send-data-wipers-to-israeli-orgs/
今回のサイバー攻撃が発覚したのは、2024年10月9日にあるユーザーがESETの公式フォーラムに「政府に支援された攻撃者が自分のPCに侵入しようとしていると警告する不審なメールを受け取った」と投稿したのが発端です。
「store@eset.co.li」というアドレスの「ESET Advanced Threat Defense Team」になりすましたメールには、ESETのドメインでホストされた圧縮ファイルのダウンロードリンクが記載されています。

サイバーセキュリティ研究者のケビン・ボーモント氏がこのリンクを検証したところ、問題の圧縮ファイルは確かにESETのイスラエル支社が所有するドメインからのものだったとのこと。これは、ハッカーがESETの防御を突破できたことを意味していると、ボーモント氏は指摘しています。
ボーモント氏は10月18日のブログ記事に、「ESETのストアとメールサーバーが使用されていたため、誰かが侵害を受けたというのが私の見解です。侵害は1週間以上前に発生したものですが、何らかの理由で公表されていません」と記しました。
圧縮ファイルに含まれている実行ファイルの「Setup.exe」にはマルウェアが仕込まれており、もし実行するとPCのデータが消去されてしまうとのことです。

一方、ESETはセキュリティインシデントの発生については認めたものの、ESETのインフラが侵害されたという指摘は否定。メディアの問い合わせに対し、「攻撃を受けたのはESETではなくComsecureというイスラエルでのESETの代理店」だと回答しました。
ESETはSNSへの投稿で「先週、イスラエルのパートナー企業が被害を受けたセキュリティインシデントを認識しています。最初の調査に基づき、限定的な悪意のあるメールキャンペーンは10分以内にブロックされました。ESETの技術が脅威をブロックしており、当社の顧客は安全です。ESETは侵害されておらず、パートナーと緊密に連携してさらなる調査を行っており、引き続き状況を注視しています」と述べています。
We are aware of a security incident which affected our partner company in Israel last week. Based on our initial investigation, a limited malicious email campaign was blocked within ten minutes. ESET technology is blocking the threat and our customers are secure. ESET was not…— ESET Research (@ESETresearch) October 18, 2024
ボーモント氏によると、今回確認されたフィッシングメールはイスラエル全土の組織のサイバーセキュリティ担当者を標的としたものだったとのこと。
サイバー攻撃を行った攻撃者が何者かは記事作成時点では不明ですが、攻撃が実行された日が、ハマスを含むパレスチナ過激派組織がイスラエルに武力侵攻してから1年の節目である2024年10月7日の翌日であったことや、データワイパーを使った手口などから、ボーモント氏は親パレスチナ派グループ「Handala」、もしくはイランと関連したハッカー集団「CyberToufan」との関連性を示唆しました。
Handalaは2024年7月に、セキュリティ企業・CrowdStrikeになりすましたフィッシング攻撃を行い、犯行声明を発表したことがあります。
史上最悪のIT障害「CrowdStrike問題」に便乗したフィッシング詐欺が急増中 - GIGAZINE

by Alpha