中国系ハッカー集団、大学のRoundcubeサーバーを標的に攻撃

eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。パートナーへのリンクをクリックすることで、当社が収益を得る場合があります。 詳細はこちら

Proofpointは、中国と関連があるとみられる脅威アクターが、米国およびカナダの大学における脆弱なRoundcubeサーバーを悪用し、認証情報を窃取して持続的なアクセスを確立していることを確認しました。 

この攻撃キャンペーンは、メールの内容だけを狙うのではなく、侵害したメールサーバーをより広範な組織ネットワークへの侵入口として利用することを目的としているとみられます。

Proofpointはこの活動クラスターを「UNK_MassTraction」として追跡しています。これは、正式な脅威アクター名がまだ割り当てられていない、新興の脅威クラスターに対して使われる一時的な呼称です。 

2026年5月以降、このグループは物理学・工学分野の学部を標的にしており、特に天体物理学、素粒子物理学、そして国家安全保障に関わる研究を行う部門が狙われています。

Proofpointの調査結果の要点

  • 中国と関連があるとみられる脅威アクターが、複数のRoundcubeの脆弱性を悪用して認証情報を窃取し、大学のメールサーバーへの持続的なアクセスを確立
  • このキャンペーンは米国およびカナダの大学における脆弱なRoundcubeサーバーを標的とし、侵害したメールサーバーをより広範な組織ネットワークへの入り口として利用
  • 攻撃者は認証情報の窃取、Webシェルの設置、VShellバックドアを組み合わせてアクセスを維持しつつ、検知回避のために複数の手法を用いている 

Roundcubeの脆弱性が多段階攻撃を可能にした経緯 

このキャンペーンは、すでに公表されている複数のRoundcubeの脆弱性を悪用してWebメールサーバーを侵害します。 

攻撃はまず、クロスサイトスクリプティング(XSS)の脆弱性であるCVE-2024-42009の悪用から始まります。この脆弱性を突けば、被害者が脆弱なRoundcube Webメールクライアントで細工されたメールを開くだけで、悪意のあるJavaScriptが実行されてしまいます。

実行されると、このJavaScriptローダーは、Proofpointが「IceCube」と呼ぶ認証情報窃取型のペイロードを展開します。 

このマルウェアは、ユーザー名、パスワード、セッションCookie、二要素認証に関する情報、ブラウザの偵察データを収集した上で、コマンド&コントロール(C2)インフラへ送信します。

続いてIceCubeは、逆シリアル化の脆弱性を突く2つ目の脆弱性CVE-2025-49113を利用して、サーバー側へのアクセス権を獲得します。 

環境に応じて、マルウェアは「SquareShell」と呼ばれるWebシェルを設置するか、あるいは「VShell」バックドアをメモリ上に直接読み込みます。これにより、攻撃者はフォレンジック上の痕跡を最小限に抑えながら持続的なアクセスを確保します。

Proofpointは、このマルウェアがブラウザの痕跡を消去し、ユーザーの活動を監視し、失敗した悪用の試行を再試行し、侵害後にアクティブなセッションを破棄するなど、意図的に検知回避を狙って設計されているとみられると指摘しています。

Roundcube攻撃キャンペーンで大学が標的にされた理由 

フィッシングの誘い文句自体は一般的な内容でしたが、Proofpointはこのキャンペーンの標的選定が決して無作為ではなかったとみています。

研究者らは、脆弱なバージョンのRoundcubeを稼働させていた米国およびカナダの主要大学の物理学部・工学部が攻撃を受けていることを確認しました。 

これは、この脅威アクターが攻撃を開始する前に、悪用可能な組織を特定するための偵察活動を行っていたことを示唆しています。

このメールは主に教授や事務職員を標的としていましたが、Proofpointによれば、この脆弱性を悪用するには受信者が脆弱なRoundcube Webメールクライアントでメールを開きさえすればよかったとしています。 

そのため、特定の受信者が誰であるかよりも、背後にあるメールサーバーへのアクセス権を獲得すること自体の方が重要だった可能性があります。 

攻撃者がメールサーバーをネットワークへの足がかりとして利用する手口 

メールの内容窃取に主眼を置く攻撃とは異なり、UNK_MassTractionはメールサーバーを、被害組織の環境により深く侵入するための機会を提供するネットワークのエッジデバイスとして扱っているとみられます。

一部の感染で展開される、一般に入手可能なバックドアである「VShell」は、対話型のコマンド実行やポートフォワーディングをサポートしており、これらは侵害済みネットワーク内を横断的に移動する際によく使われる機能です。 

Proofpointは、これまでにも複数の中国系脅威グループが、Linux、Windows、macOSの各システムを狙った侵入の際にVShellを採用してきたと指摘しています。

研究者らはまた、このキャンペーン全体を通じて、成熟した運用上のセキュリティ対策(OPSEC)が見られたとも述べています。 

具体的には、正規のファイルに紛れ込ませるためのWebシェルのタイムスタンプ改ざん、悪用に失敗した場合でも感染連鎖を維持するためのフォールバック機構、そして侵害が失敗した際にオペレーターがトラブルシューティングできるよう設計された詳細なログ記録などが含まれます。 

Roundcubeメールサーバーを守るために防御側が取るべき対策 

今回のキャンペーンは、インターネットに公開されたメールサーバーにも、VPNゲートウェイなど他のリモートアクセス基盤と同水準の保護が必要であることを改めて示しています。

Roundcubeを運用している組織は、利用可能なパッチを適用し、Webメール環境で不審な認証活動が発生していないか監視すべきです。 

また、不正なWebシェルが仕込まれていないかシステムを点検し、悪用の痕跡がないかサーバーログを確認することも必要です。 

さらにセキュリティチームは、フィッシング耐性のある多要素認証を導入し、特権アカウントを継続的に監視し、管理者権限へのアクセスを制限すべきです。

Proofpointは、インフラの特徴、VShellの使用、標的選定のパターン、そしてキャンペーン中に確認された中国語の痕跡などから、UNK_MassTractionが中国と関連するスパイ活動グループである可能性が中程度の確信度で高いと評価しています。

今回の調査結果は、メールインフラが高度な脅威アクターにとって依然として魅力的な標的であり続けていることを改めて示しています。 

攻撃者がインターネットに公開されたインフラを狙い続ける中、各組織はアイデンティティを継続的に検証し、最小権限アクセスを徹底し、横展開のリスクを低減するためにゼロトラストソリューションの導入を進めています。 

Ken Underhill

Ken Underhillは、IT、サイバーセキュリティ、リスクマネジメントの分野で25年以上の経験を持つ、受賞歴のあるサイバーセキュリティ専門家であり、ベストセラー作家、そしてテクノロジー分野のリーダーです。そのキャリアはネットワーク管理、インシデント対応、ペネトレーションテスト、起業まで多岐にわたり、組織のリスク低減とコンプライアンス確保を支援してきた豊富な実務経験を持っています。また元看護師・元衛生兵でもあり、その経験を活かして、複雑なサイバーセキュリティのトピックを幅広い世界中の読者にもわかりやすいコンテンツへと落とし込んでいます。
複数の会社をエグジットさせてきたサイバーセキュリティ起業家として、Kenは何十年にもわたり、組織のセキュリティ態勢強化、リスク管理、複雑なテクノロジー課題への対応を支援してきました。その専門分野は、全体的なサイバーセキュリティ戦略、クラウドセキュリティ、インシデント対応、リスク管理、セキュリティ意識向上、そして企業に影響を及ぼす新興の脅威など多岐にわたります。KenはまたAIセキュリティとリスクに関して複数のスタートアップのアドバイザーも務めています。
現場での実務経験に加え、KenはTechnologyAdvice向けのサイバーセキュリティ・ニュースレターの執筆者でもあり、サイバーセキュリティのニュースやトレンド、そしてビジネス・IT専門家向けの実践的なベストプラクティスを取り上げています。またKenは教育者としても活動しており、長年にわたり200万人以上がその講座を受講してきました。Global Cybersecurity 40 under 40(2度受賞)、Women’s Society of CyberjutsuからのCyber Championアワード、そして2019年のSC Media Outstanding Educator賞を受賞しています。Kenはまた、Minorities in Cybersecurity、Black Girls Hack、そして退役軍人のセキュリティ職への転身を支援するWhole Cyber Human Initiativeといった団体でボランティア活動も行っています。
Kenは、Western Governors Universityでサイバーセキュリティおよび情報保証の理学修士号を、Strayer Universityで情報システム学(サイバーセキュリティ管理専攻)の理学士号を取得しています。保有資格にはCertificate of Cloud Security Knowledge(CCSK)、Certified Ethical Hacker(CEH)、Computer Hacking Forensic Investigator(CHFI)があり、かつてはデジタルフォレンジックの非常勤講師も務めていました。Kenはまた、2020年から2022年にかけてサイバーセキュリティをテーマにしたストリーミングテレビ番組を持ち、世界中で月間20万人以上の視聴者を集めていました。
彼の仕事と専門知識は、Forbes、Reader’s Digest、Medium、TechRepublic、Fox、NBC、CBS、Dark Reading、MSN Moneyなど、主要な出版物やメディアで取り上げられており、サイバーセキュリティ、選挙セキュリティ、プライバシーに関する信頼できる論客として知られています。

翻訳元: https://www.esecurityplanet.com/threats/china-aligned-hackers-exploit-roundcube-servers-at-universities/

ソース: esecurityplanet.com