APT-C-53は再び、ウクライナ国内の組織を標的とした悪意ある添付ファイルの配布を活発化させている。最新の攻撃では、このグループがステルス性の高い侵入ツールキットを継続的に洗練させるとともに、初期侵入手法を更新し、従来から用いてきた多層的なスクリプト実行フレームワークと組み合わせていることが示されている。
360 Threat Intelligence Centerによると、攻撃者はアーカイバソフトであるWinRARに存在するCVE-2025-8088を悪用している。この脆弱性により、隠しデータを任意のシステムディレクトリに書き込むことが可能になる。被害者には、一見すると無害なファイルのみが含まれているように見えるアーカイブを添付したメールが送信される。解凍を試みると、ディレクトリトラバーサルの仕組みが作動し、Windowsのスタートアップフォルダに悪意あるHTAファイルが密かに配置される。次回ログイン時にこのファイルが実行され、攻撃者に永続的なアクセス権が与えられる。
グループが作成したHTAベースのローダーは、コンパクトなVBScriptを起動する。このスクリプトの役割は、mshta.exeを呼び出し、PDFに偽装された次段階の悪意あるコードをリモートサーバーから取得することだ。処理が行われた後、スクリプトは実行時にデコードされる断片を含む多層構造のVBSを展開する。これらの断片には、C2(コマンド&コントロール)サーバーとの通信アルゴリズム、データ収集用ユーティリティ、さらに追加の秘匿メカニズムを展開するためのコンポーネントが含まれている。
メインペイロードが実行されると、スクリプトは複数のチャネルを通じて永続化を確保する。スタートアップフォルダへのエントリを仕込むだけでなく、ユーザーディレクトリ内に複製ファイルを作成し、正規のシステムエントリを装った偽のスケジュールタスクを追加する。これにより、再起動や管理者による介入を経ても生き残ることができる第二の永続化レイヤーが構築される。設定された通信ポイントには、指揮系統の継続性を維持するためのプライマリおよびフェイルオーバー用アドレスが含まれている。
一連の動作手順、ツールの選択、そして特徴的な多層VBSスクリプトは、ウクライナの組織を対象としたAPT-C-53の長期的な秘密情報収集キャンペーンと密接に一致している。新たに悪用された脆弱性と、熟練した実行チェーンを組み合わせることで、このグループは高いレジリエンスを維持し、検知を困難にしている。
専門家は、メールゲートウェイにおける添付ファイルフィルタリングの強化を推奨しており、とりわけ異常または不審な内容を含むアーカイブに注意を払うべきだと指摘している。また、システムログの監視強化、特にスタートアップエントリ、スケジュールタスクの作成、スクリプト実行に関連するイベントの監視が重要であると強調している。ワークステーションの堅牢化、セキュリティソリューションの定期的な更新、不審ファイルの精査を徹底することで、この種のインシデントによるデータ損失リスクを大幅に低減できる。
翻訳元: https://meterpreter.org/apt-c-53-hits-ukraine-new-attack-exploits-winrar-flaw-for-persistence/
