中国と関係があるとみられる脅威クラスターが、米国とカナダの大学で稼働する脆弱なRoundcubeメールサーバーを悪用し、認証情報の窃取とネットワークアクセスの確立を行っていたことが分かりました。
Proofpointが6月7日に公開した新たな調査では、この活動をUNK_MassTractionという名称で追跡しており、攻撃者が国家安全保障と関連する可能性のある学術機関の物理学部・工学部を標的にしていたことが判明しました。
Proofpointは、攻撃者が脆弱なRoundcubeインスタンスを特定した上で、これらの組織を標的として選んだ可能性が高いと評価しています。
このキャンペーンでは、複数の既知のRoundcube脆弱性を利用してメールサーバーを侵害し、窃取した認証情報とサーバーアクセスを、メールデータの窃取そのものよりも、被害者のネットワークへの侵入経路として利用していました。
この活動は、中国と関係のある攻撃者がインターネットに公開されたインフラを悪用して標的組織へのアクセスを獲得してきた過去のキャンペーン(脆弱なエッジデバイスや公開アプリケーションを狙った攻撃を含む)に続くものです。
ネットワーク侵入口として悪用されたRoundcubeサーバー
Proofpointによると、UNK_MassTractionはRoundcubeのクロスサイトスクリプティング(XSS)脆弱性であるCVE-2024-42009を悪用するよう細工した悪意あるコンテンツを含むフィッシングメールを使用していました。
脆弱なウェブメールクライアント上で実行されると、このエクスプロイトにより被害者のブラウザ内でJavaScriptが実行される仕組みになっていました。
ProofpointがIceCubeとして追跡しているこのJavaScriptペイロードは、ユーザー名、パスワード、Cookie、認証データの窃取に使用されていました。このマルウェアはさらに被害者の環境に関する情報を収集し、窃取したセッションデータを使って侵害を継続していました。
同社は、感染チェーンの過程で攻撃者が以下を含む様々な手法を使用していたことを確認しています。
-
悪意あるJavaScriptペイロードによる認証情報の窃取
-
脆弱なRoundcubeコンポーネントに対するサーバーサイドの悪用
-
リモートアクセス用ウェブシェルの設置
-
VShellバックドアのメモリ上での実行
後続アクセスのためVShellを展開する攻撃者
Roundcubeサーバーへのアクセスを獲得した後、UNK_MassTractionはデシリアライゼーションの脆弱性であるCVE-2025-49113を悪用し、ウェブシェルを展開するか、VShellバックドアをメモリ上にインストールしていました。
Proofpointによれば、公開されているGo言語ベースのリモートアクセスツールであるVShellは、これまでにも中国と関係のある攻撃者によってWindows、Linux、macOSの各環境で使用されてきました。このマルウェアは対話型シェルアクセスとポートフォワーディング機能を提供し、攻撃者が侵害したネットワークのさらに深部へと侵入する手助けとなります。
同社は、その標的選定やインフラとのつながり、一部のフィッシングメールに見られる中国語の痕跡から、UNK_MassTractionはスパイ活動を主目的とする作戦を展開していた可能性が高いと評価しています。
「今回のキャンペーンは、メール配信がメールサーバーの侵害を助長し得ることを改めて示すものであり、中国側の攻撃者は今後もメールサーバーを他のエッジデバイスと同様に扱い続けるだろう」とProofpointは警告しています。
「防御側は、VPNコンセントレーターやその他のリモートアクセスノードと同じくらい徹底して、自社ネットワーク内のメールサーバーの防御を優先すべきです」
翻訳元: https://www.infosecurity-magazine.com/news/china-aligned-cluster-roundcube/