UNK_MassTractionが大学のRoundcubeサーバーを標的に

大学のネットワークが侵害されるのに、開封されたメール1通で十分な場合があります。Proofpointの研究者は、彼らが「UNK_MassTraction」と呼ぶキャンペーンを発見しました。中国と関連があるとみられる脅威グループがこれを実行したとされ、米国およびカナダの複数の大学において、物理学部および工学部のRoundcubeメールサーバーが侵害されました。

キャンペーンの範囲と標的選定

このキャンペーンは少なくとも2026年5月から活動しています。標的となった学部には、国家安全保障関連の研究、天体物理学、素粒子物理学に関連する部門が含まれます。Proofpointの評価によれば、攻撃者は標的をあらかじめ選定し、脆弱なバージョンのRoundcubeを稼働させている機関に狙いを定めていました。

第1段階:CVE-2024-42009とIceCubeモジュール

各侵入は、一見すると通常のニュースレターや宣伝メールに見えるメールから始まりました。そのメールには、10段階中9.4という深刻度を持つRoundcubeの重大な脆弱性、CVE-2024-42009を悪用するコードが埋め込まれていました。この欠陥により、被害者のブラウザ上で任意のスクリプトが実行可能になります。受信者が影響を受けるウェブメールクライアントでこのメッセージを開くと、埋め込まれたコードが自動的に実行されました。ユーザーによる追加の操作は一切必要ありませんでした。

その初期スクリプトは、Proofpointが「IceCube」と名付けた第2段階のモジュールを取得しました。IceCubeは稼働中のRoundcubeセッションにアクセスし、ユーザー名、パスワード、二要素認証データ、セッションクッキー、ブラウザ情報を収集しました。その後、収集したデータを攻撃者が管理するサーバーへ送信しました。

第2段階:CVE-2025-49113とSquareShellによる永続化

次の段階では、IceCubeがメールサーバー自体への永続的な足場の確立を試みました。このために同グループは、10段階中9.9という深刻度を持つRoundcubeのデシリアライゼーション脆弱性、CVE-2025-49113を悪用しました。この欠陥を通じて、攻撃者は「SquareShell」と呼ばれるウェブシェルを設置しました。このシェルにより、侵害されたサーバー上でコマンドをリモートで実行できるようになりました。

痕跡の隠蔽とフォレンジック対策

UNK_MassTractionの運用者は、痕跡を隠すために意図的な対策を講じていました。彼らのツールはブラウザのローカルストレージを消去し、対象ホストが以前に侵害されていないかを確認していました。また、悪意のあるファイルのタイムスタンプを、正規のRoundcubeコンポーネントに一致するよう改ざんしていました。各セッション終了後には、活動の痕跡が消去されました。

フォールバック経路:メモリ上で動作するVShellバックドア

ウェブシェルの設置に失敗した場合、攻撃の連鎖はフォールバック経路に切り替わりました。サーバーはLinux用スクリプトをダウンロードし、対象システムのアーキテクチャに応じた適切なローダーを選択しました。その後、VShellバックドアをメモリ上で完全に起動しました。VShellは対話型コマンドシェルへのアクセスとネットワークトラフィックのトンネリングに対応しており、大学ネットワーク内での横展開に適した機能を備えています。

中国のサイバースパイ活動との関連性

Proofpointは、UNK_MassTractionを中国のサイバースパイ活動によるものと断定しています。その根拠となる証拠としては、他の中国関連グループと共有されているインフラが挙げられます。初期のフィッシングメールには中国語の文字列が確認されました。さらに、この侵入は高度に標的を絞ったものであり、同グループがVShellを使用していたことも裏付けとなっています。

より広い教訓:メールサーバーは侵入口である

今回のキャンペーンから得られるより広い教訓は、Roundcubeという枠を大きく超えるものです。このモデルにおいて、メールサーバーは単なるメッセージの保管庫ではありません。ネットワーク全体への侵入口として機能するのです。したがって組織は、リモートアクセスシステムに適用しているのと同等の厳格さで、メールサーバーを保護する必要があります。外部に公開されているあらゆるサービスは、同様に厳格なセキュリティ管理に値します。

翻訳元: https://meterpreter.org/unk-masstraction-roundcube-university/

ソース: meterpreter.org