研究者たちは脅威活動を新たに特定されたハッカーにまで追跡しましたが、別の証拠では複数の亜種が存在することが示されています。
Google脅威インテリジェンスグループは、Windows Server Update Serviceの重大な脆弱性を標的とするハッカーに関連した一連の攻撃を調査していることがCybersecurity Diveの取材で明らかになりました。
WSUS(Microsoft製品のアップデート配信を管理するサービス)における信頼されていないデータの脆弱性の概念実証が公開されて以来、先週から脅威活動が活発化しています。
「私たちは、UNC6512として追跡している新たに特定された脅威アクターによる CVE-2025-59287 の悪用について、複数の被害組織にわたり積極的に調査しています」とGTIGの研究者はCybersecurity Diveに語りました。
研究者によると、ハッカーは標的システムへの初期アクセスを得た後、侵害されたホストや関連環境で偵察を行っています。また、GTIGによれば、影響を受けたホストからデータを流出させているとのことです。
この脅威活動は、Huntress Labsを含むセキュリティ企業による以前の観測結果を裏付けており、同社は先週末、少なくとも4つの顧客環境で悪用活動があったと報告しています。
マイクロソフトは今月初めにこの脆弱性に対処するパッチをリリースしましたが、ソフトウェアアップデートは効果がありませんでした。 HawkTraceの研究者 はこの脆弱性に関連する概念実証を公開しました。
Eye Securityの研究者は先週 エンドポイント検知と対応テレメトリで検知された不審な活動に警告を受け、実際に脅威が存在することを認識しました。彼らは概念実証を再現することに成功し、WSUSをインターネットに公開するリスクについて様々なセキュリティパートナーや政府機関に警告しました。
Eye Securityの研究者は、Huntressが公開した情報とTTPs(戦術・技術・手順)を比較した結果、複数の亜種がこの脆弱性を標的にしていると考えています。
「少なくとも2つの攻撃者が先週金曜日以降、この脆弱性を悪用しています」とEye Securityの広報担当者はCybersecurity Diveに語りました。
一方、 Palo Alto Networks Unit 42 の研究者は、悪意のあるPowerShellコマンドの使用を伴う悪用を確認したと述べています。これらのコマンドは情報収集、内部ドメイン構造のマッピング、高価値ユーザーアカウントの検索のために発行されています。
Shadowserverは 約2,800件のインスタンスが脆弱性にさらされている と報告していますが、研究者はそのうちどれが実際に脆弱であるかを特定する作業を続けています。
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)はこの脆弱性を既知の悪用脆弱性カタログに追加し、 WSUSユーザーに対し 直ちにパッチを適用し、マイクロソフトの緩和策に従うよう呼びかけました。
CISAは週末、Cybersecurity Diveに対し、連邦機関が影響を受けた証拠はないと述べましたが、外部組織に対しては不審な活動があれば報告するよう呼びかけました。
「CISAは、CVE-2025-59287に関してマイクロソフトや関係者との運用上の連携を継続し、タイムリーな緩和策の提供と重要システムの保護に努めています」と、サイバーセキュリティ部門の副局長Nick Andersen氏はCybersecurity Diveに語りました。「サイバーセキュリティは静的なものではなく、常に連携し、迅速に対応し、協力して行動することが重要です。」
