Fancy Bearは、MicrosoftのRTFファイルに存在する重大なゼロデイ脆弱性を悪用した高度なキャンペーンを開始し、中央・東欧全域のユーザーを標的にしています。
「Operation Neusploit」と名付けられたこの作戦は、同グループの手口が継続的に進化していること、そしてロシアにとって地政学的に重要な地域へ戦略的に注力していることを示しています。
同グループは、特別に細工したRTF文書に悪意のあるコードを埋め込み、英語、ルーマニア語、スロバキア語、ウクライナ語で書かれたソーシャルエンジニアリングの誘い文句で偽装しました。
Microsoftは2026年1月26日に緊急パッチを公開しましたが、実際の悪用はわずか3日後の2026年1月29日に検知されました。
Zscaler ThreatLabzのセキュリティ研究者は Fancy Bearが、MicrosoftのRTFファイル解析における脆弱性であるCVE-2026-21509を武器化し、被害者のマシン上で任意のコードを実行できるようにしていたことを発見しました。
この攻撃は高度な標的化能力を示しています。ペイロードを配布する悪性サーバーは、主にウクライナ、スロバキア、ルーマニアといった特定の地理的地域からのリクエストにのみ応答し、特定のUser-Agent文字列も確認することで、意図した被害者だけがマルウェアを受け取るようにしています。
Microsoftのゼロデイ
Operation Neusploitは2つの異なる攻撃チェーンを用い、それぞれ別の悪性ツールを展開します。第1の亜種は、Microsoft Outlookを特に標的とする軽量バックドア「MiniDoor」を配布します。
インストールされると、MiniDoorはMicrosoft Outlookのセキュリティ設定を改変し、警告なしでマクロを自動実行できるようにします。
さらに見る
VPN & リモートアクセス
アンチウイルス & マルウェア
ハッキング & クラッキング
その後、メールの活動を監視し、受信トレイ、下書き、迷惑メールなどのフォルダーからメッセージを体系的にコピーして、送信済みフォルダーに痕跡を残さずに攻撃者が管理するアドレスへ転送します。
第2の亜種では、これまで未知だったマルウェアドロッパー「PixyNetLoader」が導入されます。この高度なツールは、ステガノグラフィーにより無害に見えるPNG画像ファイルの内部に悪性コードを隠すなど、複数の回避手法を使用します。
また、正規のWindows COMオブジェクトを乗っ取ることで永続化を実現し、Windows Explorerが起動するたびにマルウェアが自動的に読み込まれるようにします。
このマルウェアには、セキュリティ研究者が使用するサンドボックス環境を検知するアンチ解析機能も含まれています。
いずれの攻撃チェーンも、最終的には侵害したシステムへの長期的なアクセスを確立することを目的としています。PixyNetLoaderは、オープンソースのCovenantフレームワークに含まれるコマンド&コントロール(C2)ツール「Covenant Grunt」インプラントをロードします。
攻撃者は通信にFilenのクラウドストレージAPIを悪用し、セキュリティツールによる検知を回避するためにトラフィックをエンコードします。
帰属(アトリビューション)と影響
研究者は複数の要因に基づき、このキャンペーンを高い確度でFancy Bearによるものと判断しています。具体的には、東欧諸国を標的とする点が同グループの過去のパターンと一致すること、マルウェアが以前に特定されたFancy Bearのツールとコード上の類似性を持つこと、そしてCOMハイジャックやステガノグラフィーなど用いられた手法が同グループの既知の戦術と整合することが挙げられます。
Fancy BearはAPT28攻撃グループとしても知られ、ロシアのGRU(軍参謀本部情報総局)軍事情報機関の一部として活動しています。
2007年から活動している同グループは、NATO諸国およびロシアの戦略的関心地域において、政府機関、防衛関連組織、メディア、政治組織を標的とするスパイ活動を専門としています。
標的地域の組織は、Microsoftのパッチを直ちに適用し、メールセキュリティ管理を強化するとともに、このキャンペーンに関連する侵害指標(IOC)を監視すべきです。
翻訳元: https://gbhackers.com/microsoft-zero-day/
