概要:IISサーバーへの高度な攻撃
2025年9月、Texas A&M University System (TAMUS) CybersecurityとElastic Security Labsは、中国語を話す脅威アクターによる高度なポストエクスプロイトキャンペーンを共同で発見しました。この攻撃グループは「REF3927」と名付けられ、悪意のあるIISモジュール「TOLLBOOTH」のインストール、Godzillaフォークのウェブシェルフレームワークの展開、GotoHTTPリモート監視・管理ツールの悪用、そして存在を隠蔽するためのカーネルモードルートキットの導入を行いました。このキャンペーンは世界中で展開されており、すでに数百台のサーバーに影響を与えています。
初期侵入の手口:ASP.NETマシンキーの悪用
初期の侵害は、ASP.NET ViewStateメカニズムに対するデシリアライゼーション攻撃に起因しています。ASP.NETマシンキー(ValidationKeyとDecryptionKeyで構成)は、ViewStateと認証クッキーを保護するために使用されます。攻撃グループは、MicrosoftのドキュメントやStackOverflowなどの公開リソースで公開されているASP.NETマシンキーを再利用している、設定が不適切なIISウェブサーバーを悪用しました。これらのキーが露出している場合、攻撃者はデシリアライゼーション時に任意のコードを実行するシリアライズされたペイロードを偽造できます。分析では、オープンソースのysoserial.netツールで生成されたBase64エンコードされたViewStateペイロードを含むPOSTリクエストが、脆弱なサーバーでコード実行を成功させ、HTTP 500 Internal Server Errorを引き起こしました。
侵害後の活動と使用ツール
初期アクセス後、脅威アクターは複数の永続化および回避ツールを展開しました。
- Z-Godzilla_ekpウェブシェル:Godzillaフォークのウェブシェルフレームワークで、インメモリでのアセンブリ実行、AMSIバイパス、HTTP POSTパラメータ内に偽装された暗号化通信を提供しました。
- GotoHTTP RMMツール:新しいWindowsアカウントの作成が失敗した場合、攻撃者は正当なGotoHTTP RMMツールをインストールし、すべての管理トラフィックを標準のウェブポート経由でルーティングすることで制御を維持しました。
- TOLLBOOTH IISモジュール:インタラクティブな権限昇格がブロックされた際、グループはTOLLBOOTHを展開しました。これは、ネイティブおよび.NETマネージドの両方のバリアントで利用可能なトラフィックハイジャックIISモジュールです。TOLLBOOTHは、攻撃者制御のインフラストラクチャから被害者ごとの設定ファイルを動的に取得し、SEOクローキングを実装して検索エンジンのランキングを操作し、
/mywebdllにハードコードされたウェブシェルを公開します。このモジュールは、検索クローラーと人間の訪問者で動作を分け、ボットにはキーワードが詰め込まれたリンクファームを提供し、ユーザーを悪意のあるランディングページにリダイレクトします。 - HIDDENDRIVERルートキット:オープンソースのHiddenルートキットの改変版であるHIDDENDRIVERをロードしようとしました。これは、Direct Kernel Object Manipulation (DKOM)とレジストリベースの設定フラグを使用して、ファイル、プロセス、レジストリキーを隠蔽します。
世界的な影響と対策
Validinとの協力により、そのグローバルスキャンインフラストラクチャを活用して、世界中で571件のアクティブなTOLLBOOTH感染が確認されました。被害は複数の地域と業界にわたり、標的を絞らない自動化された悪用戦略を示しています。注目すべきは、中国本土内では被害者が発見されなかったことで、これは自己課せられたジオフェンシング戦術を反映しています。修復されたサーバーでの繰り返しの再感染は、悪意のあるアーティファクトのクリーンアップに加えて、露出したマシンキーをローテーションすることの重要性を浮き彫りにしています。
対策には二つのアプローチが必要です。
- まず、マルウェア、モジュール、ルートキットを削除して、影響を受けたサーバーを既知の良好な状態に復元すること。
- 次に、IIS Managerなどのツールを使用して、新しく暗号学的に安全なASP.NETマシンキーを生成し、設定すること。
組織は、IIS構成におけるマシンキーの再利用を監査し、堅牢なViewState検証を有効にし、カーネルドライバーのロードや不正なモジュールインストールを警告するエンドポイント検出ソリューションを展開することが推奨されます。REF3927キャンペーンは、単純な設定エラーがサーバー全体の侵害にどのように発展するかを強調しています。オープンソースツール、正当なRMMソフトウェア、カスタムカーネルドライバーを統合することで、攻撃者は効果的で回避性の高い侵入セットを作り上げています。公開されているIIS環境の防御者は、将来同様の悪用を阻止するために、安全なマシンキー管理、ViewStateの整合性の継続的な監視、および強化されたエンドポイント防御を優先する必要があります。