概要
ロシアのサイバー攻撃グループFancy Bearは、Microsoft RTFファイルの深刻なゼロデイ脆弱性を悪用し、中央および東ヨーロッパのユーザーを標的とした高度なキャンペーンを展開しました。「Operation Neusploit」と名付けられたこの作戦は、グループの攻撃手法の進化と、ロシアの地政学的利益地域への戦略的な焦点を浮き彫りにしています。
Microsoftは2026年1月26日に緊急パッチをリリースしましたが、わずか3日後の1月29日にはすでに活発な悪用が検出されていました。
脆弱性の詳細と攻撃手法
セキュリティ研究機関Zscaler ThreatLabzは、Fancy BearがMicrosoftのRTFファイル解析における脆弱性CVE-2026-21509を悪用し、被害者マシン上で任意のコード実行を可能にしたことを発見しました。
この攻撃は高度なターゲティング能力を示しており、悪意のあるペイロードを配信するサーバーは、ウクライナ、スロバキア、ルーマニアといった特定の地理的地域からのリクエストにのみ応答し、特定のUser-Agent文字列をチェックすることで、意図した標的のみにマルウェアが届くようになっています。
展開されたマルウェアと攻撃経路
「Operation Neusploit」では、それぞれ異なる悪意のあるツールを展開する2つの攻撃経路が用いられています。
- Variant 1: MiniDoor
これは軽量なバックドアであり、特にMicrosoft Outlookを標的とします。インストール後、MiniDoorはMicrosoft Outlookのセキュリティ設定を操作し、警告なしにマクロの自動実行を許可します。その後、メール活動を監視し、受信トレイ、下書き、迷惑メールなどのフォルダからメールを体系的にコピーし、送信済みフォルダに痕跡を残さずに攻撃者が管理するアドレスに転送します。
- Variant 2: PixyNetLoader
これはこれまで知られていなかったマルウェアローダーです。PixyNetLoaderは、ステゴグラフィを通じて無害に見えるPNG画像ファイル内に悪意のあるコードを隠蔽するなど、複数の回避技術を使用します。また、正当なWindows COMオブジェクトをハイジャックすることで永続性を確保し、Windows Explorerの起動時にマルウェアが自動的にロードされるようにします。さらに、セキュリティ研究者が使用するサンドボックス環境を検出する対分析機能を備えています。
どちらの攻撃経路も、最終的には侵害されたシステムへの長期的なアクセス確立を目的としています。PixyNetLoaderは、オープンソースのCovenantフレームワークからのコマンド&コントロールツールであるCovenant Gruntインプラントをロードします。攻撃者はFilenクラウドストレージAPIを悪用して通信を行い、セキュリティツールによる検出を回避するためにトラフィックをエンコードしています。
帰属と影響
研究者らは、以下の要因に基づき、このキャンペーンをFancy Bear(別名APT28)に高い確信度で帰属させています。
- 東ヨーロッパ諸国の標的は、グループの過去のパターンと一致。
- マルウェアは以前特定されたFancy Bearツールとコードの類似性を持つ。
- COMハイジャックやステゴグラフィを含む採用された技術は、グループの既知の戦術と一致。
Fancy Bearは、ロシアのGRU(軍事情報総局)の一部として活動しており、2007年以来、NATO諸国およびロシアの戦略的利益地域の政府機関、防衛組織、メディア、政治団体を標的としたスパイ活動を専門としています。
推奨事項
標的地域に属する組織は、直ちにMicrosoftのパッチを適用し、強化されたメールセキュリティ制御を実装するとともに、このキャンペーンに関連する侵害の兆候を監視することが強く推奨されます。