概要

Akamaiの新しい調査結果によると、APT28と関連のある国家支援型脅威アクターが、Microsoftによって修正されたセキュリティ脆弱性CVE-2026-21513をゼロデイとして悪用していた可能性がある。

脆弱性の詳細

CVE-2026-21513は、MSHTMLフレームワークに影響を与える高危険度のセキュリティ機能バイパスであり、CVSSスコアが8.8と評価されています。この脆弱性は、Microsoftによって2026年2月のパッチ火曜日に修正されました。

悪用方法

脅威アクターは、攻撃対象にマルウェアを含むHTMLファイルやショートカット(LNK)ファイルを開くよう誘導することでこの脆弱性を利用します。開かれたファイルがブラウザとWindowsシェルの処理を操作し、OSによって実行されるようにすることで、セキュリティ機能をバイパスし、コード実行を可能にします。

Akamaiの調査結果

Akamaiは、APT28に関連するインフラストラクチャと関連があると思われる不審なファイルがVirusTotalにアップロードされたことを発見しました。この脆弱性は、ieframe.dll内のリンクナビゲーションを処理する論理の不足したターゲットURLの検証により引き起こされます。

攻撃手法

Akamaiによると、このペイロードは特別に作成されたWindowsショートカット(LNK)ファイルを含んでおり、HTMLファイルが標準LNK構造の直後に埋め込まれています。このLNKファイルは、APT28と関連があるドメインwellnesscaremed[.]comとの通信を開始します。

結論

Akamaiは、この脆弱性がマルウェア配布の新たな手段として利用されている可能性があることを指摘しています。攻撃者はLNKファイルを通じたフィッシング以外にも、MSHTMLを埋め込む他のコンポーネントを使用して脆弱コードパスをトリガーする可能性があります。

元記事: https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html