中国系とみられるハッカー集団、複数の大学のRoundcubeメールサーバーに侵入

セキュリティ

Proofpointの研究者は本誌The Registerに対し、「標的の総数はおそらく数十校程度と見積もっている」と語った

Proofpointの脅威リサーチャーによると、中国のスパイ集団とみられる攻撃者が5月以降、米国とカナダの主要大学に侵入を続けています。Roundcubeメールサーバーの脆弱性を悪用し、物理学・工学系の管理職員や教授に属するデータを窃取しているとのことです。

Proofpointの主席脅威リサーチエンジニアであるグレッグ・レスニウィッチ氏は、これら一連の侵入において「10校未満」の大学が直接観測されたとThe Registerに語りました。「標的の総数はおそらく数十校程度と見積もっているが、これはあくまで推測であり、当社のデータで裏付けられたものではないことを強調しておきたい」と同氏は述べています。

最も新しい観測は6月上旬に確認されたものの、「このキャンペーンは現在も継続している可能性が高いと考えている」とレスニウィッチ氏は付け加えました。

このメールセキュリティ企業は当該集団をUNK_MassTractionとして追跡しており、国家安全保障との関連が深い部門や、天体物理学・素粒子物理学分野の個人を標的にしていると指摘しています。これらはいずれも北京の情報収集目的に資するテーマであり、政府系のサイバー攻撃集団によって頻繁に狙われている分野です。

侵入者は初期アクセスの獲得に、Roundcubeのクロスサイトスクリプティング脆弱性であるCVE-2024-42009を悪用します。この脆弱性は、メールをメールクライアントで開くだけでサーバーへのアクセスを獲得できてしまうというものです。

脅威リサーチャーらは火曜日のブログで、「標的となった各部門は、脆弱なバージョンのRoundcubeを稼働させていたことが選定理由である可能性が高い……これは、UNK_MassTractionがキャンペーン実施前に標的の事前調査を行っていたことを示している」と記しています

このスパイ活動は、ファイル名解析の脆弱性を悪用してVShellマルウェア(中国系APTグループが遠隔操作やファイル操作、侵害後の制御に主に用いるGoベースのバックドア)を配布した、Trellixが以前公表したキャンペーンと類似していますが、Proofpointはこの過去の活動をUNK_MassTractionと確実に結び付けることはできないとしています。

すべては一通の汎用的なフィッシングメールから始まる

UNK_MassTractionの攻撃チェーンは、侵害済みの正規送信元と、なりすましに悪用可能な脆弱なドメインの両方から大学の各部門に送られるフィッシングメールから始まります。

脅威リサーチャーによると、これらの誘導メールは汎用的な内容で、時には大学のマーケティングメッセージを装うこともあり、これはProofpointが観測した以上に「標的範囲が広い」可能性を示唆しているといいます。また、これは「標的がメールを開いても最終的には見過ごし(詳しく調べない)、それでも攻撃者にとってはアクセス獲得に十分であるという、マーケティングやスパムのコンテンツに見せかけようとする試み」を示している可能性もある、と同社は記しています。

メールを開くとCVE-2024-42009が発動します。このバグはサニタイズ処理の不備を悪用するもので、遠隔の攻撃者がメッセージを窃取・送信できるようになります。

ユーザーが脆弱なRoundcubeインスタンスのWebメールクライアントでメールを開くと、メッセージ本文に埋め込まれたJavaScriptローダーが実行され、攻撃者は「IceCube」と呼ばれる完全に機能する情報窃取ツールを遠隔配信できるようになります。

IceCubeはまずDOMトラバーサルによってRoundcubeのiFrameインスタンスから脱出します。これにより、この情報窃取ツールはブラウザ内のDocument Object Model(DOM)全体とRoundcubeの認証セッションにアクセスできるようになります。

その後、ユーザー名やパスワード、セッショントークン、Cookieの窃取に取り掛かるとともに、ブラウザに対する偵察活動も行い、使用言語や画面サイズ、フォームフィールドの値といった情報を収集します。

この情報窃取ツールは、まずこれらのデータをHTTP POSTで攻撃者のコマンド&コントロールサーバーに送信します。次に、そのセッションのCSRFトークンを利用して、Roundcubeの別の脆弱性を悪用するためのガジェットを仕込みます。この脆弱性はCVE-2025-49113として追跡されているデシリアライゼーションの脆弱性で、攻撃者はこれを悪用して「SquareShell」と呼ばれるウェブシェルをインストールし、リモートコード実行を可能にするほか、VShellインプラントも導入します。

Proofpointは、同社の研究者が侵害されたサーバー上でSquareShellをスキャンし、政府機関や業界のパートナーと連携して特定された被害者に通知したと述べています。

6月時点で、脅威リサーチャーらは攻撃者が、当初のウェブシェル展開が失敗した場合に備えたフォールバックチャネルを導入していることも観測しています。これまでは、ウェブシェルが実行に失敗した場合、攻撃チェーン全体が失敗に終わっていました。

中国政府系スパイとのさらなる関連性

このフォールバックチャネルは、Googleが「SnowLight」として追跡している別のローダーの実行を準備するシェルスクリプトを実行します。Proofpointは「このシェルスクリプトは、中国の攻撃者による他のエクスプロイト主導型の侵入でも使用されており、これは民間で共有された(プライベートな)能力である可能性を示している」と指摘しています。

Proofpointのセキュリティ調査チームは、フィッシングメールのヘッダー内に、「複数の中国系脅威アクターが使用しているとみられる隠密なインフラネットワーク」に属する仮想プライベートサーバー(VPS)のIPアドレスが含まれる事例を「複数」確認したとしています。

このネットワークへのアクセス、米国・カナダの大学に対する少数規模での標的選定、VShellの使用、そしてフィッシングメール内に見られる中国語の痕跡——これらを踏まえ、同チームは「UNK_MassTractionは、中程度の運用上のセキュリティ意識を示している、中国と関連の深いスパイ活動目的の脅威アクターである可能性が高いと評価している」と記しています。®


翻訳元: https://www.theregister.com/security/2026/07/08/suspected-chinese-snoops-caught-breaking-into-universities-roundcube-mailservers/5268778

ソース: theregister.com