ロシア系APT「Gamayun」、新MSC EvilTwin脆弱性を悪用しマルウェアを拡散
ロシア系の高度な持続的脅威(APT)グループ「Gamayun」が、Windows Microsoft Management Console(MMC)の未公開脆弱性「MSC EvilTwin」(CVE-2025-26633)を悪用した新たな多段階侵入キャンペーンを開始しました。このキャンペーンでは、侵害されたインフラ、ソーシャルエンジニアリング、高度に難読化されたPowerShellを組み合わせ、mmc.exeに悪意のあるコードを注入し、ユーザーの疑念を最小限に抑えながら隠されたペイロードと最終的なマルウェアローダーを展開しています。
MSC EvilTwin (CVE-2025-26633) の詳細
この攻撃の中心となるのは、MMCの多言語パス解決におけるMSC EvilTwin脆弱性(CVE-2025-26633)です。ユーザーが悪意のある.mscファイルを起動すると、mmc.exeは正当なスナップインではなく、不正なスナップインをロードする悪意のあるMUIパスを解決してしまいます。これにより、通常のMMCプロセスを通じて悪意のある実行が可能となります。
巧妙な多段階攻撃チェーン
攻撃チェーンは、一見無害なBing検索から始まります。「belay」という検索ワードで正規の「belaysolutions[.]com」が表示されますが、このサイトは悪意のあるJavaScriptが注入され、ユーザーを偽のドメイン「belaysolutions[.]link」へ密かにリダイレクトします。そこで被害者は、正規のPDFパンフレットに見せかけた二重拡張子ファイル「Hiring_assistant.pdf.rar」を提示されます。このRARアーカイブを開くと、無害なドキュメント資産を装った.mscファイルがドロップされ、これがMSC EvilTwin脆弱性悪用の起点となります。ユーザーの一般的な操作が、高度なPowerShell駆動型侵入の足がかりに変えられてしまうのです。
難読化されたPowerShellと永続化戦略
スナップイン内に埋め込まれたTaskPadコマンドは、Base64エンコードされたPowerShellペイロードを-EncodedCommandを介して実行し、目に見えるプロンプトなしに最初の隠されたスクリプト段階を開始します。この信頼されたWindowsバイナリの悪用により、攻撃者はmmc.exeを介して実行をプロキシし、挙動検知を困難にし、企業環境で一般的に見られる管理ツールに悪意のある活動を紛れ込ませます。
Stage-1のPowerShellスクリプトは、UnRAR.exeとパスワード保護されたRARアーカイブをダウンロードし、ペイロードを抽出し、短い遅延を挟んでInvoke-Expressionでスクリプトを実行します。このスクリプトは、入れ子になったBase64とUTF-16LEエンコード、アンダースコアベースの文字列クリーンアップを用いて高度に難読化されており、Water Gamayunの典型的な手口がうかがえます。
Stage-2のPowerShellは、Win32のShowWindow APIを呼び出す最小限の.NETクラス「WinHpXN」をコンパイルし、コンソールウィンドウを非表示にしてユーザーの気づきを最小限に抑えます。その後、無害に見えるおとりのPDFを開き、通常のドキュメント操作の錯覚を維持しながら、最終ローダー「ItunesC.exe」を複数回ダウンロード、抽出、実行して永続性を確立します。
これらの段階全体で、サンドボックスや静的分析を妨害するために、パスワード保護されたアーカイブ、強力な21文字の英数字パスワード、ランダム化されたパスが使用されています。
「Water Gamayun」による高度な攻撃
最終バイナリ「iTunesC.exe」は、バックドアや情報窃取型マルウェアのインストールを担います。Zscaler Threat Huntingは、以下の複数の要因を相関させることで、このキャンペーンを高い確度で「Water Gamayun」に帰属させています。
- MSC EvilTwin(CVE-2025-26633)の稀な悪用
- 特徴的なPowerShellの難読化パターン
- WinHpXNウィンドウ非表示.NETスタブの使用
- 単一IP(103[.]246[.]147[.]17)上でホストされる二重パスインフラストラクチャ
- 「Hiring_assistant.pdf」や「iTunesC」のような雇用テーマおよび消費者スタイルの誘引の一貫した使用
これらの要素は、Water Gamayunの2025年の広範な戦略、すなわち、新たな脆弱性の悪用、信頼されたバイナリの悪用、そして難読化とOPSECの層を重ねることにより、密かに認証情報を窃取し、機密データを外部に流出させ、高価値の企業や政府ネットワークにおける長期的な足がかりを維持するという手法を反映しています。
特定された脅威指標 (Indicators of Compromise: IoCs)
この攻撃に関連する主要なIoCsは以下の通りです。
- ファイルハッシュ:
- Hiring_assistant.pdf.rar: MD5: ba25573c5629cbc81c717e2810ea5afc
- UnRAR.exe: MD5: f3d83363ea68c707021bde0870121177
- as_it_1_fsdfcx.rar: MD5: 97e4a6cbe8bda4c08c868f7bcf801373
- as_it_1_fsdfcx.txt: MD5: caaaef4cf9cf8e9312da1a2a090f8a2c
- doc.pdf: MD5: f645558e8e7d5e4f728020af6985dd3f
- ItunesC.rar: MD5: e4b6c675f33796b6cf4d930d7ad31f95
- アーカイブパスワード:
- k5vtzxdeDzicRCT
- jkN5yyC15x4zbjbTdUS3y
- IPアドレス: 103.246.147.17
- ネットワークパス:
- /cAKk9xnTB/UnRAR.exe
- /cAKk9xnTB/as_it_1_fsdfcx.rar
- /cAKk9xnTB/doc.pdf
- /yyC15x4zbjbTd/ItunesC.rar
- ドメイン:
- belaysolutions[.]com (正規だが侵害された可能性)
- belaysolutions[.]link (悪意のあるドメイン)
企業が取るべき対策
今回の攻撃は、既知および未知の脆弱性を悪用し、正規のシステム機能を悪用するAPTグループの高度な手口を示しています。企業は、以下の対策を強化することが重要です。
- パッチ管理の徹底: 最新のセキュリティパッチを適用し、システムを常に最新の状態に保つ。
- エンドポイントセキュリティの強化: 行動ベースの検知機能を備えた次世代アンチウイルスやEDRソリューションを導入する。
- 従業員へのセキュリティ意識向上トレーニング: ソーシャルエンジニアリングの手口や不審なファイルの取り扱いについて教育を徹底する。
- ネットワーク監視の強化: 不審な通信やC2通信を検知するためのネットワークトラフィック監視を強化する。
- 多要素認証の導入: 認証情報の窃取に備え、多要素認証(MFA)を広く適用する。
常に最新の脅威情報に注意を払い、プロアクティブなセキュリティ対策を講じることが、組織をサイバー攻撃から守る鍵となります。