記事本文(要約)
APTハッキンググループ「Stealth Falcon」が、トルコ、カタール、エジプト、イエメンの防衛および政府機関に対するゼロデイ攻撃で、WindowsのWebDav RCE脆弱性CVE-2025-33053を悪用しました。この脆弱性は、特定の正規システム実行ファイルの作業ディレクトリの不適切な取り扱いに起因するリモートコード実行(RCE)脆弱性です。攻撃者は、.urlファイルを使い、Windowsの診断ツールを経由して、攻撃者の制御するWebDAVサーバーから任意のコードを実行できるようにします。これは、悪意のあるファイルをローカルにドロップせずにステルス性を高めることができます。この脆弱性はCheck Point Researchが発見し、Microsoftが最新のPatch Tuesdayアップデートで修正しました。攻撃はフィッシングメールを通じて行われ、不審なWebDAVトラフィックの監視や最新のWindowsアップデートの適用が推奨されます。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 11 Jun 2025 11:47:27 -0400
Original URL: https://www.bleepingcomputer.com/news/security/stealth-falcon-hackers-exploited-windows-webdav-zero-day-to-drop-malware/
詳細な技術情報
以下に、この攻撃および脆弱性に関する詳細情報を示します。
CVE番号
- CVE-2025-33053:これは、Stealth FalconとされるAPTグループが発見したWindowsのWebDavを利用したリモートコード実行(RCE)脆弱性に対応する識別番号です。
脆弱性の仕組み
- 不適切な作業ディレクトリの処理: 脆弱性は、特定の正当なシステム実行可能ファイルが作業ディレクトリを不適切に処理することに起因しています。
- .urlファイルの操作: .urlファイルが作業ディレクトリをリモートWebDAVパスに設定することにより、Windows内蔵ツールを誤ってリモートのマルウェア実行可能ファイルを実行させることが可能となります。
攻撃手法
- フィッシングメール: 攻撃者はフィッシングメールを利用して、ターゲットに対してPDFに偽装したURLファイルを送信します。
- リモートコード実行: iediagcmd.exeという正当な診断ツールを利用し、攻撃者のリモートサーバーから不正なプログラムを実行させる。
- カスタムプログラムのインストール: horus loaderという多段階のローダーをインストールして、ホスト上に更なるマルウェアペイロードを投下します。
潜在的な影響
- システムの完全な制御: 攻撃者はシステムのリモート操作、ファイル操作、コマンド実行など多岐にわたる操作が可能になる。
- 情報収集: システムの指紋情報収集、設定変更、シェルコード注入等が可能で、特に防衛・政府機関に対するサイバースパイ活動のため利用されます。
- 持続的な侵入: キーロガーやパッシブバックドアを含む後続ツールによる持続的な感染が可能。
推奨される対策
- 最新のWindowsアップデート適用: 脆弱性を修正するパッチを速やかに適用することが最も重要です。
- WebDAVトラフィックの監視・制限: 更新が不可能な場合、WebDAVトラフィックをブロックまたは未知のエンドポイントへの不審な接続を監視することを推奨します。
- セキュリティ意識の向上: フィッシングメールへの注意喚起と、メール添付ファイルの不審な動作に気を付けるよう社内でトレーニングを実施すること。
