はじめに:APT28による新たな脅威「Operation Neusploit」
ロシア系の高度持続的脅威グループAPT28(Fancy Bear)が、Microsoft Officeのゼロデイ脆弱性を悪用し、マルウェアを配布する新たな攻撃キャンペーン「Operation Neusploit」を展開していることが確認されました。Zscaler ThreatLabzの研究者らがこの作戦を特定し、中央および東ヨーロッパのユーザーを標的としていることを報告しています。
この攻撃では、細工されたRTFドキュメントを通じて、CVE-2026-21509というリモートコード実行の脆弱性が悪用されています。Microsoftは2026年1月26日に緊急セキュリティアップデートをリリースしましたが、攻撃者はその後も脆弱性の悪用を継続しており、脅威アクターがパッチ適用後もアクセスを維持していたことを示唆しています。
攻撃のメカニズム:複数のドロッパーとマルウェア
攻撃チェーンは、標的が悪意のあるRTFドキュメントを開くことから始まります。脆弱性の悪用に成功すると、マルウェアは攻撃者のインフラからドロッパーDLLをダウンロードします。ThreatLabzは、異なるペイロードを展開する2種類のドロッパーバリアントを特定しました。
MiniDoor:メール窃取マルウェア
最初のドロッパーバリアントは、Microsoft OutlookのVBAプロジェクトとして設計されたメール窃取マルウェア「MiniDoor」を展開します。MiniDoorは64ビットの軽量DLLで、Outlookのセキュリティ設定をダウングレードし、すべてのマクロを有効にし、コンテンツダウンロード警告を無効にすることで、悪意のあるマクロプロバイダーが自動的にロードされるようにレジストリキーを変更します。
MiniDoorはMAPILogonCompleteイベントを監視し、受信トレイ、RSSフィード、迷惑メール、下書きフォルダ内の既存のメールを検索し、発見されたメッセージを2つのハードコードされた攻撃者制御のメールアドレスに転送します。ステルス性を維持するため、DeleteAfterSubmitプロパティを設定し、送信済みフォルダにコピーが残らないようにしています。
PixyNetLoader:持続性とシェルコード展開
2番目のドロッパーバリアントは、より複雑な感染チェーンをPixyNetLoaderを通じて実装します。これは、持続性を確立し、追加コンポーネントを展開する、これまでに文書化されていないツールです。PixyNetLoaderは、COMオブジェクトハイジャックを通じて持続性を確立し、正規のEnhanced Storage Shell Extension DLLに関連するレジストリキーを変更します。
さらに、このマルウェアは「OneDriveHealth」という名前のWindowsスケジュールタスクを作成し、悪意のあるEhStoreShell.dllがハイジャックされたCOMインターフェースを通じてロードされるように仕向けます。EhStoreShell.dllは、ホストプロセス検証やスリープタイミングチェックなどのアンチ分析技術を実装しており、サンドボックス環境を検知します。チェックを通過した場合、EhStoreShell.dllはステガノグラフィー技術を用いてSplashScreen.png内に隠されたシェルコードを抽出します。
最終ペイロード:Covenant Gruntインプラント
最終的なペイロードは、オープンソースの.NET Covenantコマンド&コントロールフレームワークの一部であるCovenant Gruntインプラントです。このインプラントは、Filen APIをC2Bridgeとして利用し、攻撃者のインフラと通信することで、正規のクラウドストレージサービスを悪用してネットワーク検知を回避します。
APT28への帰属と回避策
ThreatLabzは、標的地域(中央および東ヨーロッパ)がAPT28の過去の標的と一致すること、MiniDoorがAPT28に関連する以前のマルウェア「NotDoor」の簡略版であること、C2通信にFilen APIを使用していることなど、複数の要因に基づいてOperation NeusploitをAPT28に高い確度で帰属させています。攻撃者側のサーバーは、標的地域からのリクエストかつ正しいUser-Agent HTTPヘッダーが含まれる場合にのみ悪意のあるDLLペイロードを配信するなど、高度なサーバーサイド回避策を実装しています。
推奨される対策
組織は直ちに、2026年1月26日にリリースされたMicrosoftのセキュリティアップデートを適用し、CVE-2026-21509に対処する必要があります。また、ユーザーは未知の送信元からのRTFドキュメントを開く際には注意を払うべきです。セキュリティチームは、Outlookのセキュリティ設定に関連するレジストリの変更を監視し、Microsoft Outlookディレクトリ内の不正なVBAプロジェクトを調査する必要があります。
ネットワーク防御者は、Filen APIインフラへの外部接続を精査し、EhStoreShell.dllを標的としたCOMハイジャックの試みを監視する必要があります。
侵害指標 (IOCs)
ファイル指標
- RTFファイル (CVE-2026-21509を悪用):
- MD5: 95e59536455a089ced64f5af2539a449, SHA256: b2ba51b4491da8604ff9410d6e004971e3cd9a321390d0258e294ac42010b546 (Consultation_Topics_Ukraine(Final).doc)
- MD5: 2f7b4dca1c79e525aef8da537294a6c4, SHA256: 1ed863a32372160b3a25549aad25d48d5352d9b4f58d4339408c4eea69807f50 (Courses.doc)
- MD5: 4727582023cd8071a6f388ea3ba2feaa, SHA256: 5a17cfaea0cc3a82242fdd11b53140c0b56256d769b07c33757d61e0a0a6ec02 (N/A)
- MD5: d47261e52335b516a777da368208ee91, SHA256: fd3f13db41cd5b442fa26ba8bc0e9703ed243b3516374e3ef89be71cbf07436b (1291.doc)
- MD5: 7c396677848776f9824ebe408bbba943, SHA256: c91183175ce77360006f964841eb4048cf37cb82103f2573e262927be4c7607f (BULLETEN_H.doc)
- MiniDoor用ドロッパーDLL (バリアント1):
- MD5: f3b869a8d5ad243e35963ba6d7f89855, SHA256: a944a09783023a2c6c62d3601cbd5392a03d808a6a51728e07a3270861c2a8ee (2_2.d)
- MiniDoorマルウェア:
- MD5: f05d0b13c633ad889334781cf4091d3e, SHA256: bb23545380fde9f48ad070f88fe0afd695da5fcae8c5274814858c5a681d8c4e (VbaProject.OTM)
- PixyNetLoaderドロッパーDLL (バリアント2):
- MD5: 859c4b85ed85e6cc4eadb1a037a61e16, SHA256: 0bb0d54033767f081cae775e3cf9ede7ae6bea75f35fbfb748ccba9325e28e5e (table.d)
- EhStoreShell.dll (シェルコードローダー):
- MD5: e4a5c4b205e1b80dc20d9a2fb4126d06, SHA256: a876f648991711e44a8dcf888a271880c6c930e5138f284cd6ca6128eca56ba1
- SplashScreen.png (ステガノグラフィーでシェルコードを埋め込んだPNGファイル):
- MD5: 154ff6774294e0e6a46581c8452a77de, SHA256: 2822c72a59b58c00fc088aa551cdeeb92ca10fd23e23745610ff207f53118db9
- office.xml (Windowsスケジュールタスク設定ファイル):
- MD5: ee0b44346db028a621d1dec99f429823, SHA256: 9f4672c1374034ac4556264f0d4bf96ee242c0b5a9edaa4715b5e61fe8d55cc8
- Covenant Gruntインプラント:
- MD5: ea6615942f2c23dba7810a6f7d69e2da, SHA256: 3f446d316efe2514efd70c975d0c87e12357db9fca54a25834d60b28192c6a69 (N/A)
ネットワーク指標
- 悪意のあるドメイン:
- freefoodaid[.]com
- wellnesscaremed[.]com
- MiniDoorドロッパーDLLをホストするURL:
- hxxps://freefoodaid[.]com/documents/2_2.d
- PixyNetLoaderをホストするURL:
- hxxps://freefoodaid[.]com/tables/tables.d
- LNKをホストするURL:
- hxxps://freefoodaid[.]com/documents/2_2.lNk