Source:https://thehackernews.com/2025/11/from-log4j-to-iis-chinas-hackers-turn.html
🛡 概要
中国関与が疑われる攻撃者が、米国の政策関連非営利組織に長期潜伏を狙った侵入を実行。インターネット露出サーバーに対し、既知の重大脆弱性(CVE-2022-26134: Atlassian Confluence OGNL RCE、CVE-2021-44228: Apache Log4Shell、CVE-2017-9805: Apache Struts RCE、CVE-2017-17562: GoAhead Web Server RCE)を中心にマススキャンと悪用を試行し、Windowsではタスクスケジューラと正規バイナリ(msbuild.exe/csc.exe)を用いた持続化・隠蔽を実施しました。加えて、WinRARの新たな欠陥CVE-2025-8088を悪用したDLLサイドロード事例や、公開されたASP.NET machineKeyを突くIISバックドア(TOLLBOOTH)展開も観測され、旧来バグや設定不備を軸にしたグローバル諜報活動の広がりが確認されています。
CVSS(参考):CVE-2021-44228=10.0、CVE-2022-26134=9.8、CVE-2017-9805=9.8。その他は公表元の最新情報を参照してください。
🔍 技術詳細
2025年4月5日、対象サーバーに対し上記CVE群を狙うマススキャンが観測。4月16日、攻撃者はcurlで外部接続可否を確認後、netstatでネットワーク設定を把握し、タスクスケジューラにより持続化を確立しました。タスクは正規のMicrosoftビルドツールmsbuild.exeを起動し不明ペイロードを実行、さらに60分間隔・SYSTEM権限の第二のタスクを生成。続いてcsc.exe(C#コンパイラ)へコードをロード/インジェクションし、C2サーバー 38.180.83[.]166 と通信。カスタムローダーでRATと見られるペイロードをメモリ上で展開しました。
別経路では、正規のVipre AVコンポーネントvetysafe.exeを用い、sbamres.dllのサイドロードでローダーを起動。これはDeed RAT(Snappybee)関連活動やEarth Longzhi(APT41サブクラスター)、Space Pirates、Salt Typhoon(別名Kelp/Earth Estries)に関連したDLLサイドロードの系譜と整合しますが、ツール共有が横行しており、特定グループへの断定は困難です。観測環境ではDCSyncやImjpuexcといったツール/手口も確認され、ドメインコントローラー奪取を強く志向していた形跡があります。
同時期に、WinRARのCVE-2025-8088を悪用し、DLLをサイドロードしてシェルコードを実行、最終的に mimosa.gleeze[.]com に接続するチェーンも報告されました。さらにIISでは、公開されたASP.NET machineKeyの悪用により、認証トークン偽造を踏み台にTOLLBOOTH(HijackServer)モジュールを導入、SEOクローキングやWebシェル展開(Godzilla)、GotoHTTPの遠隔操作、Mimikatzによる資格情報窃取、Hiddenを改変したHIDDENDRIVERルートキットで隠蔽するといった一連の攻撃が世界規模で観測。インドと米国に感染が集中したとの報告もあります。
⚠ 影響
・DC(ドメインコントローラー)権限奪取により、ネットワーク横断的な認証基盤の掌握、機密データ流出、長期潜伏が現実的に発生。
・旧脆弱性や設定不備の残存により、パッチ適用済み領域を迂回した侵入が成立。
・IIS改ざんとSEOクローキングでWeb資産が不正誘導・マルスパム基盤に転用され、ブランド毀損と検索評価低下を招く。
・WinRAR欠陥を用いたユーザー側侵入でエンドポイントから横展開の足掛かりに。
🛠 対策
・脆弱性管理の最優先対象の再点検:Confluence(CVE-2022-26134)、Log4j(CVE-2021-44228)、Struts(CVE-2017-9805)、GoAhead(CVE-2017-17562)、WinRAR(CVE-2025-8088)を含む。影響資産の棚卸しと最短の更新/無効化。Log4jはJndiLookupの完全除去や依存チェーンの再ビルドを実施。
・IISのmachineKey露出チェック、キー再生成・保護、不要モジュール停止、Web.configとGlobal.asaxの改ざん検査、w3wpからのプロセス生成抑止。
・Windowsでの持続化阻止:高権限タスク新規作成監視/制限、msbuild.exe/csc.exeのネットワークアクセスと子プロセス制御(ASR/WDAC/AppLocker)。
・DLLサイドロード対策:アプリケーションごとの安全なDLL検索パス、カタログ署名/WDACの厳格化、SysmonのImageLoad監視。
・AD防御:DCSync権限(Replicating Directory Changes*)の定期監査、DCへのローカルログオンおよびLSASSアクセス制御、Read-only DCの活用。
・ネットワーク:Egress制御とDNS監視、C2既知IOC(例: 38.180.83[.]166、mimosa.gleeze[.]com)遮断、TLS復号下でのHTTP(S)異常検知。
・インシデント対応:影響資産の即時隔離、証跡保全、機密情報の漏えい調査、機器再構築とキー/証明書ローテーション。
📌 SOC視点
・Windowsイベント:タスク作成/変更(Security 4698/4702、TaskScheduler/Operational 106/140/200)、特権割当(4672)、プロセス生成(4688)。Sysmon:1(ProcessCreate)、3(NetworkConnect)、7(ImageLoad)、10(ProcessAccess)、11(FileCreate)。
・不審パターン:msbuild.exe/csc.exeの異常な親子関係/外向き通信、vetysafe.exeが非標準ディレクトリのsbamres.dllを読込、w3wp.exe→cmd.exe/powershell.exeの生成、IISログに対する.ashx/.aspx/.jsp等への頻繁なPOST、長いCookieやUser-Agentを伴うアクセス。
・AD監査:4662(Directory Service)で『Replicating Directory Changes(All/Filtered)』のアクセス、5136/4732でレプリケーション権限付与の変更、LSASSハンドル取得の検知。
・ネットワーク:C2への定期ビーコン、DNSハイジャック兆候(A/NS書き換え、内部から外部DNSへの迂回)、SEOクローキングのUser-Agent依存応答差。
・メモリ/ドライバ:インメモリRAT、未署名/異常署名ドライバ(HIDDENDRIVER)ロードの検知。
📈 MITRE ATT&CK
- TA0001 Initial Access: T1190 Exploit Public-Facing Application(Confluence/Struts/GoAhead/Log4jのRCE悪用)
- TA0003 Persistence/TA0004 Privilege Escalation: T1053.005 Scheduled Task(SYSTEMタスクで持続化・権限維持)
- TA0005 Defense Evasion: T1127.001 MSBuild、T1574.002 DLL Side-Loading、T1055 Process Injection(csc.exeへの注入)、T1014 Rootkit(HIDDENDRIVER)
- TA0007 Discovery: T1016 System Network Configuration Discovery(netstat等)
- TA0006 Credential Access: T1003.006 DCSync(ADレプリケーションAPIの濫用)
- TA0008 Lateral Movement: T1078 Valid Accounts(DC狙いの横展開前提)
- TA0011 Command and Control: T1071.001 Web Protocols(HTTP(S)でのC2通信)
- TA0003 Persistence: T1505.003 Web Shell(IIS上のGodzilla/モジュール)
- TA0005 Defense Evasion: T1553 Subvert Trust Controls(machineKey悪用によるトークン/署名の信頼転用)
🏢 組織規模別助言
小規模(〜50名):外部委託も視野にSBOM/資産台帳を整備し、Log4j/Confluence/Struts/WinRAR/IISを優先更改。WDAC/ASRの推奨ポリシー適用、IISはクラウドWAFの導入で被弾面を縮小。
中規模(50〜500名):週次の脆弱性スキャンと例外管理、EDRでmsbuild/cscのルール化、ADのレプリケーション権限レビュー、パープルチーミングでDCSync/ウェブシェル検知演習。
大規模(500名以上):攻撃面最小化プログラム(ASM/ASOC)を展開、WDAC段階的適用、IIS機密キーのHSM保護、eBPF/NT Kernel-Telemetryでドライバ不正ロード監視、脅威インテリジェンス連携でIOC即時封止。
🔎 類似事例
- ProxyLogon悪用によるFamousSparrowのSparrowDoor展開(Exchange: CVE-2021-26855等)
- EdgeStepper経由のAitMでSlowStepperを配布したPlushDaemon
- Salt Typhoon/Earth EstriesやSpace PiratesによるDLLサイドロード連鎖
- IIS狙いのGhostRedirector、Operation Rewrite、UAT-8099の一連の改ざん作戦
🧭 次の一手
1) 資産棚卸しで上記CVEの影響範囲を即日確定し、補助的緩和(WAF/仮想パッチ/公開遮断)を同時適用。2) ADでDCSync権限を即時監査し不要権限を除去、監視ルールを本番適用。3) IISのmachineKey管理・Webシェル検出・w3wp子プロセス抑止の3点セットを標準化。これらの実施後、ログ相関でC2通信の残存兆候を確認し、必要に応じて端末再構築と秘密情報のローテーションを実施してください。
