サイバーニュース.jp

世界のサイバーなニュースを配信

Bitter APTがWinRARゼロデイ脆弱性を悪用し、悪意のあるWordファイルを介して機密データを窃取

カテゴリ:

, , , , , , , , ,

概要:WinRARゼロデイを悪用するBitter APTの新たな攻撃

「Bitter」(APT-Q-37としても追跡)として知られる脅威グループが、悪意のあるOfficeマクロとこれまで文書化されていなかったWinRARのパス・トラバーサル脆弱性を悪用し、C#バックドアを送り込み、機密情報を窃取する新たなキャンペーンを展開しています。Qi’anxin脅威インテリジェンスセンターの研究者たちは、この二重の攻撃が、中国、パキスタン、その他の戦略的地域の政府、電力、軍事部門における高価値ターゲットに焦点を当てた、同グループの進化する戦術を示していると警告しています。

Bitter APTグループについて

Bitter(蔓霊花)は、南アジアを拠点としていると広く信じられており、数年前から活動しています。歴史的に、このグループは政府機関や重要インフラ事業者に対して高度に標的を絞ったスパイ活動を行ってきました。彼らのツールセットには、マクロ有効Office文書を添付したスピアフィッシングメールやカスタムバックドアが伝統的に含まれています。最近のネットワークインフラとスクリプトパターンの分析により、Bitterへの帰属が確固たるものとなっており、特に以前のVermillion Bitterキャンペーンと一致するドメインの使用が確認されています。

攻撃の概要:2つのモード

Qi’anxinのアナリストは、2つの攻撃モードを示す複数のサンプルを回収しました。どちらのモードも、リモートサーバーから任意のEXEファイルを取得・実行できるC#バックドアの展開に至ります。

モード1:悪意のあるXLAMファイル

  • 「Nominated Officials for the Conference.xlam」という悪意のあるXLAMファイルが、被害者にマクロの有効化を促します。
  • その後、「ファイル解析に失敗しました」という偽のメッセージを表示し、ユーザーを安心させます。
  • 舞台裏では、埋め込まれたVBAマクロがBase64エンコードされたC#ソースファイルを「C:\ProgramData\cayote.log」にデコードします。
  • 次に、csc.exeを使用してコードを「C:\ProgramData\USOShared\vlcplayer.dll」にコンパイルし、InstallUtil.exeを介してインストールします。
  • 永続性は、スタートアップフォルダに配置されたバッチスクリプトによって実現され、hxxps://www.keeferbeautytrends.com/d6Z2.php?rz=への定期的な接続をスケジュールし、さらなる指示を取得します。

モード2:WinRARパス・トラバーサル脆弱性の悪用

  • 攻撃者は、WinRARのパス・トラバーサル脆弱性を悪用して、ユーザーのWordテンプレート(Normal.dotm)を上書きします。
  • 無害に見える「Document.docx」と隠された「Normal.dotm」を細工されたRARアーカイブ内にパッケージ化することで、被害者がアーカイブを抽出する際(多くの場合、ダウンロードフォルダに直接)、悪意のあるテンプレートが正規のテンプレートに置き換わることを保証します。
  • 任意のDOCXファイルを開くと、Wordは改ざんされたNormal.dotmをロードし、リモート共有をマウントして、以前に観測されたのと同じC#バックドアであるwinnsc.exeを実行します。
  • 当初、CVE-2025-8088が疑われましたが、テストにより、この脆弱性はWinRARバージョン7.12以前に影響を与えることが確認され、古い未パッチの脆弱性が示唆されています。

詳細な分析とバックドアの機能

バックドアのソースコードは「cayote.log」に保存されており、AES復号ルーチンを使用して設定文字列を隠蔽しています。その主要なループは、OSバージョン、アーキテクチャ、ホスト名、一時ディレクトリパスなどのデバイス情報を収集し、POSTリクエストを介してhxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.phpに送信します。サーバーからの応答は、追加のEXEペイロードのダウンロード指示をエンコードしています。その後のdrdxcsv34.phpへのリクエストは、生のEXEデータを取得し、マルウェアはDOSヘッダーをプレフィックスとして付加して修復した後、バイナリを検証して実行します。実行結果はdrxcvg45.phpに報告されます。同じバックドアロジックがwinnsc.exeにも存在し、両方の攻撃ベクトルが最終的に共通のインプラントに収束することを確認しています。teamlogin.esanojinjasvc.comなどの複数のドメインがC2インフラとして機能しており、これらはすべて2025年4月に登録されており、これらのサンプルが単一のBitter作戦に由来するという結論を裏付けています。

推奨される保護対策

Qi’anxin脅威インテリジェンスセンターは、組織に対し、多層防御戦略を採用するよう強く推奨しています。

  • 未知の送信元からの未承諾の電子メール添付ファイルやリンクには注意を払う。
  • Officeアプリケーションでのマクロ実行を無効化または制限する。
  • WinRARおよびその他のアーカイブユーティリティの最新パッチを適用する。
  • ネットワークセグメンテーションを実施し、異常なトラフィックを検出するためにアウトバウンドPOSTリクエストを監視する。
  • Qi’anxinのファイル深度分析プラットフォームなどのサンドボックス分析プラットフォームを利用して、実行前に信頼できないファイルを検査する。

ソーシャルエンジニアリングとゼロデイエクスプロイトを組み合わせることで、Bitterは攻撃能力を拡大する機敏性を示しています。このような高度な侵入を阻止するためには、警戒、タイムリーなパッチ管理、およびプロアクティブな脅威ハンティングが引き続き重要です。

元記事: https://gbhackers.com/winrar-zero-day/

投稿をさらに読み込む