ハッカーたちは、KnowledgeDeliver 学習管理システム(LMS)を実行するサーバーに存在する深刻なゼロデイ脆弱性を悪用し、Godzilla ウェブシェルを展開しました。
この欠陥は、デシリアライゼーションの問題として追跡されています。ビデオプレーヤーは現在広告を再生中です。マウスまたはキーボードで5秒後に広告をスキップできます。
Mandiant は 2025 年末に KnowledgeDeliver サーバーへの攻撃に対応し、当初この脆弱性がゼロデイとして悪用され、ウェブプラットフォームに悪意のあるスクリプトが注入されたと述べています。
研究者らによると、「複数の顧客環境にわたって同一の事前共有 ASP.NET マシンキーが使用されていた」ことにより、悪用が可能になったとのことです。
「2026 年 2 月 24 日以前に展開された KnowledgeDeliver のインストールは、ベンダーが提供する標準化された web.config ファイルに依存していました。この設定ファイルには、ViewState ペイロードを含むデータの暗号化と署名に ASP.NET フレームワークが使用するハードコードされた machineKey の値が含まれていました」と Mandiant は説明しています。
研究者たちによると、プラットフォーム上の悪意のあるコードが「ユーザーに偽のインストーラーをダウンロードさせ」、その結果としてマシンが Cobalt Strike ビーコンに感染し、事実上バックドアが仕込まれたとのことです。
「ペイロードは侵害された組織の名前を使ったキーで暗号化されており、これは脅威アクターがこのペイロードを標的組織に特化して準備していたことを示しています」と、Mandiant は本日公開したレポートで述べています。
Godzilla ウェブシェルの展開
Mandiant によると、脅威アクターは .NET ベースのインメモリウェブシェルである Godzilla(別名 BlueBeam)を展開したとのことで、このシェルは 2024 年末に Microsoft が観測した同様の攻撃でも使用されています。
2024 年 8 月には、サイバーセキュリティ企業 ASEC の研究者も、金融セクターの企業を標的にした ViewState デシリアライゼーション攻撃において、ASP.NET 環境に Godzilla が展開されていることを報告していました。
Mandiant は、KnowledgeDeliver のインスタンスを侵害した脅威アクターが、ウェブサーバーのファイルシステムへの制御を強化するためにコマンドを実行したと指摘しています。
これにより、攻撃者はアプリケーションの JavaScript ファイルを改ざんし、ユーザーに「セキュリティ認証プラグイン」のインストールを促すコードを埋め込み、攻撃者が管理するドメインから悪意のあるスクリプトを読み込ませることが可能になりました。
過去 1 年間、ハッカーたちはさまざまな製品のウェブプラットフォームを標的にした ViewState デシリアライゼーション攻撃において、適切に保護されていないマシンキーを悪用してきました。
昨年 3 月には、脅威アクターがハードコードされたマシンキーを悪用して悪意のあるペイロードを作成し、Gladinet CentreStack のセキュアなファイル共有サーバーへのアクセスを可能にしました。
2025 年 7 月には、ハッカーがマシンキーを盗んで署名済みの悪意ある ViewState ペイロードを作成し、85 台の Microsoft SharePoint サーバーを侵害しました。
国家支援を受けたアクターも、ASP.NET マシンキーを公開していた Sitecore サーバーに対して ViewState デシリアライゼーション攻撃を行い、WeepSteel と呼ばれる偵察ツールを Sitecore サーバーに展開しました。
検証のギャップ:自動ペネトレーションテストが答えるのは1つの問いだけ。あなたには6つの問いが必要だ。
自動ペネトレーションテストツールは確かな価値をもたらしますが、それらは「攻撃者がネットワーク内を横断できるか」という1つの問いに答えるために作られています。コントロールが脅威をブロックするか、検知ルールが発動するか、クラウド設定が維持されるかをテストするためには作られていません。
本ガイドでは、実際に検証が必要な6つの領域について解説します。
