サイバーニュース.jp

世界のサイバーなニュースを配信

Windows LNK UIスプーフィングの脆弱性が悪用され、リモートコード実行攻撃に利用される

カテゴリ:

, , , , , , , , ,

概要

欧州の外交機関を標的とした高度なサイバースパイ活動が明らかになりました。このキャンペーンは、中国関連の脅威アクターUNC6384による戦略的なエスカレーションを示しています。攻撃の中心は、2025年3月に初めて開示されたWindowsショートカット(LNK)UIの誤表示の脆弱性ZDI-CAN-25373の悪用と、本物の外交会議を模倣したソーシャルエンジニアリングスキームの組み合わせです。

Googleの脅威インテリジェンスグループによって以前から文書化されているUNC6384は、特に東南アジアの外交部門を継続的に標的としてきたことで知られています。Arctic Wolf Labsの研究者たちは、2025年9月から10月にかけて、ハンガリー、ベルギー、および近隣の欧州諸国の組織が、新たに進化を遂げた攻撃チェーンによって具体的に標的とされたことを確認しました。最近の活動では、欧州の主要な外交圏への標的拡大が見られます。

攻撃チェーンの詳細

UNC6384の戦術的な俊敏性は、エクスプロイトの迅速な採用に表れています。ZDI-CAN-25373の公開から6ヶ月以内に、UNC6384はこの脆弱性を実用化し、多段階の侵害を開始するURLが埋め込まれたスピアフィッシングメールを悪用しました。

攻撃は、被害者が欧州委員会やNATO会議に関連する、一見正当に見える会議テーマのLNKファイルとやり取りすることで始まります。これらのファイルはWindowsの脆弱性を悪用して、難読化されたPowerShellコマンドを密かに実行し、マルウェアが仕込まれたアーカイブを抽出してアクティブ化します。最終的なペイロードは、そのモジュール性と多数の中国系APTグループに好まれていることで知られるリモートアクセス型トロイの木馬(RAT)であるPlugXです。

多段階攻撃チェーンの解説

攻撃シーケンスは、エクスプロイトをトリガーするためにCOMMAND_LINE_ARGUMENTSに空白パディングを使用する、武器化されたLNKファイルを中心に展開します。一度アクティブ化されると、LNKはPowerShellを実行してtarアーカイブを解凍し、以下の3つのコアファイルを生成します。

  • 正規のCanonプリンターアシスタント実行ファイル
  • 悪意のあるDLL
  • 暗号化されたペイロード

攻撃者は、欧州委員会の会議議題を表示するおとりのPDFドキュメントを使用します。認識されているWindows DLL検索順序のサイドローディングを利用して、Canonバイナリ(デジタル署名されているが、証明書の有効期限が切れている)が悪意のあるDLLをロードし、それがPlugXペイロードを復号化してメモリに注入し、ステルス実行を可能にします。

PlugXは、コマンド実行、ファイル転送、キーロギング、永続化の確立など、広範なスパイ活動を可能にし、信頼されたプロセス内にその存在を偽装します。注目すべきは、マルウェアが難読化されたランタイム解決文字列を使用してWindows API関数を動的にロードおよび解決し、制御フローの平坦化や暗号化などの分析対策を展開して検出を妨害している点です。

スピアフィッシングによる配信以外にも、Arctic Wolf LabsはUNC6384がキャプティブポータルハイジャックやバックグラウンドHTAファイル実行などの代替ベクトルを使用していることを指摘しており、脅威アクターの技術的な多様性をさらに強調しています。彼らのC2(コマンド&コントロール)インフラは、多数の正規サービスに似たドメインにまたがり、異なる地域に分散しているため、テイクダウンの取り組みを複雑にしています。

戦略的影響と推奨事項

このキャンペーンの欧州への焦点は、中国にとって戦略的利益のある分野である、国境を越えた政策、防衛調達、多国間調整に関与する組織を特定しています。マルウェアは、ユーザープロファイル内のいくつかの可能な場所のいずれかに隠しディレクトリを作成し、抽出されたすべてのファイルをコピーして永続的なアクセスを維持します。Windowsレジストリエディターには、SamsungDriverディレクトリ内のcnmpaui.exeを指すRunキーエントリを介した永続化メカニズムが示されています。

ZDI-CAN-25373に対する正式なパッチがないことを考慮すると、組織は以下の対策を講じるべきです。

  • 自動LNKファイル解決を無効にする。
  • 既知のC2ドメインをブロックする。
  • 異常な場所でのCanonプリンターユーティリティの展開を厳しく調査する。
  • ユーザーへの強化されたトレーニングを実施する。
  • DLLサイドローディング攻撃に対する継続的な監視を行う。
  • ステルス性の高いメモリ常駐型マルウェアに対するプロアクティブな脅威ハンティングを行う。

EU-西バルカン国境会議やNATO防衛ワークショップなど、実際のイベントに合わせたおとり文書の作成は、外交スケジュールに対する高度な理解を示しており、侵害の成功の可能性を高めています。永続的なPlugX感染は、攻撃者が機密文書を窃取し、政策議論を監視し、潜在的に外交プロセスをリアルタイムで操作または監視することを可能にします。これは、即時のデータ損失だけでなく、標的とされた政府や組織にとって長期的な戦略的損失をもたらすリスクがあります。

このキャンペーンは、高度な脆弱性悪用と文脈に応じたフィッシングを融合させ、高価値の外交ネットワークに侵入する、スパイ活動のパラダイムシフトを強調しています。組織は、UNC6384のような急速に進化する脅威アクターに対する堅牢な防御を優先し、重要な外交および政策決定プロセスを保護する必要があります。

元記事: https://gbhackers.com/windows-lnk-ui/

投稿をさらに読み込む