WebRATマルウェアは現在、最近公開された脆弱性の概念実証(PoC)エクスプロイトをホストしていると主張するGitHubリポジトリを通じて配布されています。
以前は、Roblox、Counter Strike、Rustといったゲーム向けの海賊版ソフトウェアやチートを通じて拡散していましたが、WebRATは情報窃取機能を備えたバックドアで、年初に出現しました。
5月にSolar 4RAYSが公開したレポートによると、WebRATはSteam、Discord、Telegramのアカウント認証情報に加え、暗号資産ウォレットのデータを盗むことができます。また、ウェブカメラを通じて被害者を監視したり、スクリーンショットを取得したりすることも可能です。
少なくとも9月以降、オペレーターは、メディア報道で取り上げられた複数の脆弱性に対するエクスプロイトを提供すると称する、巧妙に作り込まれたリポジトリを通じてマルウェアを配布し始めました。対象には次のものが含まれていました:
- CVE-2025-59295 – WindowsのMSHTML/Internet Explorerコンポーネントにおけるヒープベースのバッファオーバーフローで、ネットワーク経由で送信される特別に細工されたデータにより任意のコード実行が可能になります。
- CVE-2025-10294 – WordPress向けOwnID Passwordless Loginプラグインにおける重大な認証バイパスです。共有シークレットの検証が不適切なため、未認証の攻撃者が資格情報なしで管理者を含む任意のユーザーとしてログインできる可能性があります。
- CVE-2025-59230 – WindowsのRemote Access Connection Manager(RasMan)サービスにおける権限昇格(EoP)脆弱性です。ローカルで認証された攻撃者が不適切なアクセス制御を悪用し、影響を受けるWindows環境で権限をSYSTEMレベルまで昇格させる可能性があります。
Kasperskyのセキュリティ研究者は、WebRATを配布する15のリポジトリを発見しました。いずれも、問題の概要、主張されているエクスプロイトの動作、利用可能な緩和策に関する情報を提供していました。
情報の構成方法から、Kasperskyはテキストが人工知能モデルを用いて生成されたものだと考えています。
出典:Kaspersky
このマルウェアには、Windowsレジストリの改変、タスクスケジューラの利用、ランダムなシステムディレクトリへの自己注入など、複数の永続化手法があります。
Kasperskyの研究者によると、偽のエクスプロイトはパスワード保護されたZIPファイルとして配布されており、その中には、パスワードをファイル名にした空のファイル、デコイとして機能する破損したおとりDLLファイル、実行チェーンで使用されるバッチファイル、そしてrasmanesc.exeという名前のメインドロッパーが含まれています。
出典:Kaspersky
アナリストによると、ドロッパーは権限を昇格し、Windows Defenderを無効化したうえで、ハードコードされたURLからWebRATをダウンロードして実行します。
Kasperskyは指摘しており、このキャンペーンで使用されたWebRATの亜種は、以前に文書化されたサンプルと違いはなく、過去のレポートで説明されたのと同じ機能が列挙されています。
出典:Kaspersky
GitHub上の偽のエクスプロイトを使って、疑いを持たないユーザーを誘導しマルウェアをインストールさせる手口は新しいものではなく、過去に広く文書化されています[1, 2, 3, 4]。より最近では、脅威アクターがGitHub上で偽の「LDAPNightmare」エクスプロイトを宣伝し、情報窃取型マルウェアを拡散させました。
Kasperskyが発見したWebRATキャンペーンに関連する悪意のあるGitHubリポジトリはすべて削除されました。しかし、脅威アクターは別の公開者名で新たなおとりを投稿できるため、開発者や情報セキュリティ愛好家は利用するソースに注意すべきです。
信頼できない可能性のあるソースから入手したエクスプロイトやコードをテストする際の一般的なルールは、制御された隔離環境で実行することです。
