中国系ハッカー集団、Roundcubeメールサーバーをネットワーク侵入の足がかりとして悪用

2026年5月以降、新たに特定された脅威クラスタ「UNK_MassTraction」が、米国およびカナダの主要大学を標的にしています。

攻撃者は主に物理学部と工学部に焦点を当てており、特に国家安全保障との関わりや天体物理学の研究を持つ教授や大学職員を狙っています。

攻撃者はRoundcube Webmailソフトウェアの既知の脆弱性を悪用しており、これらのメールサーバーをデータの保管庫としてではなく、学術ネットワークの奥深くへ侵入するためのエッジデバイスとして扱っています。

Proofpointの研究者によると、この攻撃キャンペーンは、侵害されたアカウントやセキュリティ対策が不十分なドメインから送信される、一見単純なフィッシングメールから始まります。

これらの汎用的なメールは、標的を侵害するのにほとんどユーザー操作を必要としません。被害者が脆弱なRoundcube Webmailクライアントでメッセージを開くだけで、攻撃シーケンスが即座に開始されます。

これらのメールはCVE-2024-42009を悪用します。これはHTMLコンテンツを適切にサニタイズできないクロスサイトスクリプティングの脆弱性です。この欠陥により、標準的なWebアニメーション機能を利用して悪意のあるJavaScriptペイロードが自動的に実行されます。

起動すると、このスクリプトはローダーとして機能し、リモートの指令サーバーからさらに高度な二次ペイロードを取得します。

この二次ペイロードは、研究者によって「IceCube」と名付けられた本格的なJavaScript情報窃取ツールです。IceCubeは基本的なWebトラバーサル技術を用いてWebmailの分離環境から抜け出し、攻撃者にブラウザセッションへの完全なアクセス権を与えます。

その内部コードには多くのコメントが付されており、特定のフェーズごとに整理されていることから、脅威アクターが大規模言語モデルを利用して迅速な開発を行った可能性が示唆されています。

認証情報を窃取した後、IceCubeは直ちに基盤となるサーバーインフラの侵害に移ります。盗んだセッショントークンを使い、CVE-2025-49113として追跡されている、もう一つのRoundcubeの脆弱性であるデシリアライゼーションの欠陥を悪用します。

悪意のあるシリアライズされたPHPデータをサーバーに送信することで、このマルウェアはシステムを欺いて埋め込まれたシェルコマンドを実行させます。

この動作により、「SquareShell」と呼ばれるステルス性の高いWebシェルがメールサーバーに直接投下されます。SquareShellは自身のファイルのタイムスタンプを正規のプラグインに合わせて改変し、リモートコードを実行しながら環境に紛れ込むことを可能にします。

Proofpointの調査によると、UNK_MassTractionグループは、その感染チェーンを驚くほどの耐障害性とフォールバック機構を備えた設計にしています。

最初のWebシェル展開が失敗した場合、マルウェアは別の経路からバックアップ用のシェルスクリプトをダウンロードします。このスクリプトは、正規のバックグラウンドプロセスになりすましてマシン上での存在を隠す、カスタムローダーを取得します。

このローダーはその後、VShellを取得します。VShellは、中国系の高度持続的脅威(APT)グループによって広く使用されている強力なGo言語製バックドアです。

VShellは攻撃者に対話型コマンドラインとポートフォワーディング機能を提供し、大学ネットワーク全体をさらに探索するための格好の足場となります。

注: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例: [.])。再度有効な形式に戻す作業は、MISP、VirusTotal、またはSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

翻訳元: https://cyberpress.org/hackers-pivot-through-roundcube/

ソース: cyberpress.org