TokyoBlackHatNews

theregister.com 4分で読了

中国のスパイと疑われる集団が未修正のWindows脆弱性を武器化し、欧州の外交官をスパイ

中国政府と関係のあるサイバースパイが、3月に公開されたもののマイクロソフトがまだ修正していないWindowsショートカットの脆弱性を悪用し、防衛や国家安全保障の情報を盗む目的で欧州の外交官を標的にしました。

セキュリティ企業Arctic Wolfは、このスパイ活動をUNC6384(別名:Mustang Panda、Twill Typhoon)によるものとし、木曜日に公開した調査で、疑われる中国のスパイがソーシャルエンジニアリングとWindowsの脆弱性を利用し、9月と10月に外交会議に出席した職員に対してPlugXマルウェアを展開した方法を詳述しました。

「このキャンペーンは、UNC6384が公開から6か月以内に脆弱性を迅速に取り入れる能力、外交カレンダーやイベントテーマに関する詳細な知識を活用した高度なソーシャルエンジニアリング、そして従来の東南アジアから欧州の外交機関への標的拡大を示しています」とArctic Wolf Labsの脅威調査チームは述べています

UNC6384は北京の支援を受けていると疑われるグループで、Googleの脅威インテリジェンスグループによると、今年初めに東南アジアの外交官を標的にし、最終的にPlugXバックドアを展開しました。PlugXは長年北京支援のグループに好まれているマルウェアで、感染したマシンへのリモートアクセスや制御、ファイルの窃取、追加マルウェアの展開が可能です。

Arctic Wolfによると、最新のキャンペーンでは2025年9月と10月にベルギー、ハンガリー、イタリア、オランダの外交官と、セルビア政府の航空部門が標的となりました。

Zero Day Initiativeの脅威ハンターPeter Girnus氏がこの脆弱性を3月に発見しマイクロソフトに報告しましたが、2017年にはゼロデイとして悪用されていたと述べています。北朝鮮、イラン、ロシア、中国の国家支援グループ11組織が、サイバースパイやデータ窃取の目的でZDI-CAN-25373を悪用してきました。

ZDI-CAN-25373が原因

攻撃は、欧州の防衛・安全保障協力や国境を越えたインフラ開発をテーマにした非常に具体的なフィッシングメールから始まります。これらのメールは、ZDI-CAN-25373(別名CVE-2025-9491)というWindowsショートカットの脆弱性を悪用した武器化LNKファイルを配信し、LNKファイルのCOMMAND_LINE_ARGUMENTS構造内に空白パディングを追加することで攻撃者がコマンドを密かに実行できるようにします。

悪意のあるファイル(例:Agenda_Meeting 26 Sep Brussels.lnk)は、外交会議をテーマにした誘導とともにダミーのPDF文書を利用します。この場合、EUと西バルカン諸国間の国境通過地点での物品の自由な移動を促進する欧州委員会の実際の会議アジェンダが表示されます。

LNKファイルが実行されると、PowerShellを呼び出してtar(テープアーカイブ)形式のアーカイブをデコード・展開し、3つのファイルを抽出してDLLサイドローディングによる攻撃チェーンを可能にします。DLLサイドローディングは、Salt Typhoonを含む複数の中国政府系グループが好むマルウェア配信手法です。

DLLサイドローディングは、WindowsのDLL検索順序を悪用し、正規のDLLの代わりに悪意のあるDLLをアプリケーションに読み込ませる手法です。

3つのファイルには、正規だが有効期限切れのCanonプリンターアシスタントユーティリティ(Symantec発行の有効なデジタル署名付き)が含まれます。証明書は2018年4月に失効していますが、Windowsは有効なタイムスタンプを含む署名のバイナリを信頼するため、攻撃者はこれを利用してセキュリティツールを回避し、DLLサイドローディングでマルウェアを配信できます。

悪意のあるDLLはローダーとして機能し、アーカイブ内の3つ目のファイルであるcnmplog.dat(暗号化されたPlugXペイロードを含む)を復号・実行します。

PlugXは少なくとも2008年から存在するリモートアクセス型トロイの木馬(RAT)で、攻撃者にコマンド実行、キーロギング、ファイルのアップロード・ダウンロード、永続的アクセス、システム偵察など、あらゆるリモートアクセス機能を提供します。

「この3段階の実行フローにより、正規の署名付きプロセス内でPlugXマルウェアがステルスに展開され、エンドポイントセキュリティソリューションによる検知の可能性が大幅に低下します」と研究者らは記しています。

マイクロソフトは、中国や他国の国家がZDI-CAN-25373を悪用していることや、このセキュリティ欠陥を修正する予定があるかどうかについて、The Registerの問い合わせに即時回答しませんでした。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/30/suspected_chinese_snoops_abuse_unpatched/

ソース: go.theregister.com
#AIサイバーセキュリティ #DLLサイドローディング #PlugXマルウェア #UNC6384 #Windows脆弱性 #ゼロデイ攻撃 #中国サイバー諜報 #国家支援型攻撃 #欧州外交官 #社会工学的攻撃

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張