ShadowPadがWSUS脆弱性CVE-2025-59287を悪用しSYSTEM権限 - SecureShield セキュリティニュースまとめ

Source:https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html

🛡 概要

Microsoft Windows Server Update Services（WSUS）の脆弱性「CVE-2025-59287」を起点に、ShadowPad マルウェアが配布・実行され、SYSTEM 権限でのリモートコード実行（RCE）に至る事案が報告されています。AhnLab Security Intelligence Center（ASEC）の公開レポートによれば、攻撃者は公開された WSUS に対して初期侵入を確立し、PowerCat によるシェル取得後、curl.exe や certutil.exe を用いて ShadowPad を取得・展開しました。ShadowPad は PlugX の後継と評価されるモジュール型バックドアで、中国系スパイ活動で広く観測されています。本稿では、技術的な手口、検知・対策の勘所、MITRE ATT&CK との対応、組織規模別の現場助言を整理します。なお、CVE-2025-59287 の正式なCVSSスコアは公的データベースで本稿執筆時点では確認できていません（ベンダ通達では重大度が高いと報告）。

🔍 技術詳細

報告によると、攻撃は以下の流れで進行しました。まず、WSUS のデシリアライゼーション欠陥（CVE-2025-59287）を突いて初期アクセスを獲得。WSUS はしばしばインターネットに誤って公開されることがあり、IIS 上で稼働するため、既知の公開アプリケーション悪用のパターン（不正なリクエストにより任意コードがサーバ側で実行）と整合します。次に、攻撃者は PowerShell ベースの Netcat 互換ユーティリティである PowerCat を使って CMD シェルを取得（T1059.001）。続いて、Windows 正規ユーティリティの curl.exe および certutil.exe を呼び出し、外部サーバ（例：149.28.78[.]189:42306）から ShadowPad のペイロードをダウンロード（T1105）。この際、正規バイナリの悪用（LOLBins）として、EDR 回避やプロキシ通過が狙われます。

展開フェーズでは、DLL サイドローディングによる実行が行われます。具体的には、正規の ETDCtrlHelper.exe（ELAN 系コンポーネントとして知られる）と同一ディレクトリに悪性 DLL（ETDApix.dll）を配置し、Windows の DLL 検索順序を悪用してロード（T1574.002）。この DLL はメモリ内ローダとして機能し、ShadowPad のコアモジュールをメモリ上で起動（T1620）。コアモジュールは埋め込まれたプラグインを段階的にロードし、C2 通信、偵察、持続化などをオンデマンドに実行します。活動は既知の特定グループには未属性とされつつも、ShadowPad の運用特性（プライベートに販売・共有されるモジュール型バックドア、2015年以降の継続的アップデート）と一致します。PoC 公開後の悪用加速も報告され、WSUS からの横展開や正規ツール（例：Velociraptor）の投下といった“正規活用”の混在が確認されています。

重要点：本件の技術的特徴は、（1）公開アプリのRCEを起点とする高権限初期侵入、（2）PowerShell と LOLBins によるファイル取得・実行、（3）DLLサイドローディングとメモリ常駐化での検知回避、の三段構えです。これにより、署名検査やディスクI/Oのみを監視する旧来の対策をすり抜ける可能性が高まります。

⚠ 影響

影響資産：WSUS サーバ（IIS、Windows Server）、ドメイン内のクライアント/サーバ
権限レベル：SYSTEM（WSUS上でのRCE成立時）
潜在リスク：バックドア常駐、認証情報窃取、横展開、ポリシー改変、正規アップデート経路の悪用
可用性：WSUS 停止や更新配信の妨害、改ざんリスク
CVSS：公式スコア未確認（重大度高と報告）。緊急パッチ適用・外部公開遮断が推奨

🛠 対策

パッチ適用：CVE-2025-59287 の修正を最優先で適用。再起動・ロールバック計画を含む変更管理を実施
公開遮断：WSUS は原則インターネット非公開。必要時はVPN越し限定、IP制限、WAF/リバースプロキシで防御
IIS/WSUSハードニング：TLS1.2/1.3強制、不要モジュール無効化、最小権限（アプリプールIDを限定）、HTTPメソッド制限
PowerShell制御：Constrained Language Mode、AMSI有効化、ScriptBlock/Module ログ（4104/4103）集約、過去180日分の保全
LOLBins統制：AppLocker/WDACで certutil.exe と curl.exe の実行・ネットワーク通行を用途限定
DLLサイドローディング対策：Safe DLL Search Mode 有効化、正規バイナリの作業ディレクトリ書き込み禁止、サイドロード既知組合せのYARA/EDR検知
ネットワーク監視：未知ポート外向き通信のブロック/検知、IOC（例：149.28.78[.]189:42306）の一時遮断
バックアップ/復元：オフライン/イミュータブル保管、復元演習の定期化

📌 SOC視点

Windows イベント：4688（プロセス作成）、7045（サービス作成）、4697（サービスインストール）、
4104（PowerShell ScriptBlock）、4103（Module）、
5156（許可された接続）
Sysmon：Event 1（プロセス作成：powershell.exe、certutil.exe、curl.exe）、3（ネットワーク接続）、7（ImageLoaded：ETDCtrlHelper.exe が ETDApix.dll をロード）、11（FileCreate）、22（DNS）
IIS/WSUSログ：IIS W3C（異常なPOST/長大ペイロード/予期せぬエンドポイント）、WSUSCtrl.log / SoftwareDistribution.log のエラー急増
ハンティング例：
- certutil/curl の外向き通信（未知ポート、直IP、ユーザーコンテキスト不整合）
- PowerCat/リバースシェル痕跡（powershell.exe -e、Base64、NamedPipe/TCP接続）
- 正規バイナリ−DLLの異常組み合わせ（ETDCtrlHelper.exe と非標準パス上の ETDApix.dll）
対応フロー：影響範囲の特定→WSUS隔離→メモリ・ディスク・IISログの取得→資格情報のローテーション→全端末スキャン→段階的復旧

📈 MITRE ATT&CK

Initial Access: T1190 Exploit Public-Facing Application（WSUSのRCEを対外公開面で悪用）
Execution: T1059.001 PowerShell（PowerCat によるシェル取得）
Command and Control: T1105 Ingress Tool Transfer（certutil/curlでペイロード取得）
Defense Evasion: T1574.002 Hijack Execution Flow: DLL Search Order Hijacking（ETDCtrlHelper.exe と ETDApix.dll のサイドローディング）
Defense Evasion: T1620 Reflective Code Loading（メモリ内ローダでの常駐）
Discovery（想定）：T1082 System Information Discovery / T1016 Network Service Discovery（ShadowPadの標準プラグイン挙動と整合）

根拠：ASECの報告にある一連のツール・手口と、各技法の記述（公開アプリ悪用、PowerShell 実行、LOLBins での取得、DLL 検索順序ハイジャック、メモリローディング）が一致します。

🏢 組織規模別助言

小規模（〜50名）：WSUS を原則内向き限定。直ちにパッチと公開遮断。EDR未導入なら Microsoft Defender のCloud保護とPowerShellログを集中管理
中規模（50〜500名）：WDAC/AppLockerでLOLBins制御、IIS/WAF導入、脆弱性管理（週次スキャン）、攻撃演習（RCE→PowerShell連鎖の封じ込め手順）
大規模（500名以上）：ゼロトラスト境界（PAW/ジャンプサーバ）、CMDBとWSUS群のネット分離、SOARでIOCブロック自動化、WDACの監査→強制モード移行