記事本文(要約)
脅威アクターであるEncryptHubが、Microsoft Management Consoleのゼロデイ脆弱性を悪用してWindowsに対する攻撃を行っていたことが判明しました。この脆弱性(CVE-2025-26633、通称 “MSC EvilTwin”)は、未修正デバイス上でMSCファイルがどのように扱われるかに問題があります。Trend Microの調査員であるAliakbar Zahraviによって発見されました。
攻撃者は、この脆弱性を悪用してWindowsのファイル評判保護を回避し、ユーザーに警告を出すことなくコードを実行できます。メール攻撃やウェブベースの攻撃において、特別に作成されたファイルをユーザーに開かせることにより、脆弱性を突くことが可能です。
EncryptHubは、CVE-2025-26633を使用して悪意のあるコードを実行し、感染したシステムからデータを流出させていました。このキャンペーンでは、EncryptHub stealer、DarkWispバックドア、SilentPrismバックドアなど、過去のEncryptHub攻撃に関連する複数の悪意あるペイロードが展開されました。
また、今年4月にもこの技術の初期バージョンが使用された事例が確認されています。EncryptHubは、フィッシングや社会工学攻撃を通じ、世界中の少なくとも618の組織に侵入したとされています。さらに、ファイルを暗号化するランサムウェアも展開しています。
今月、MicrosoftはWin32カーネルサブシステム(CVE-2025-24983)のゼロデイ脆弱性も修正しました。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 25 Mar 2025 12:51:32 -0400
Original URL: https://www.bleepingcomputer.com/news/security/encrypthub-linked-to-zero-day-attacks-targeting-windows-systems/
詳細な技術情報
- CVE番号と脆弱性の仕組み
- CVE番号: CVE-2025-26633
- 脆弱性の仕組み: この脆弱性は、脆弱なデバイスでのMSCファイルの扱いに関するセキュリティ機能のバイパスにあります。特に、MSCファイルをロードする際に、ユーザーに警告が表示されずにコードが実行されるという点が問題となっています。
- 攻撃手法
- 1. メールベースの攻撃シナリオ: 攻撃者は特別に細工されたファイルをユーザーに送り、そのファイルを開くように説得します。
- 2. ウェブベースの攻撃シナリオ: 攻撃者が作成したウェブサイトや、ユーザー提供のコンテンツを受け入れるかホストする侵害されたウェブサイトを利用して、脆弱性を利用するための特別なファイルを提供します。
- 潜在的な影響
- ユーザーのファイルの無許可実行が可能となるため、攻撃者は不正なコードを実行し、デバイスを完全に制御することが可能です。
- 感染したシステムからデータの窃取が行われ、そのデータが攻撃者のコマンド・アンド・コントロール(C&C)サーバーに送信される可能性があります。
- EncryptHubは、データ窃取後にファイルを暗号化するランサムウェアを展開し、被害者をさらに脅迫します。
- 推奨される対策
- 1. 最新のセキュリティパッチの適用: MicrosoftのPatch Tuesdayで配布されたパッチを速やかに適用し、CVE-2025-26633の脆弱性に対処することが重要です。
- 2. メールの添付ファイルに注意: 不審なメールの添付ファイルは開かず、信頼できる送信者からのものであることを確認する。
- 3. ウェブサイトの注意: 信頼できないウェブサイトを避け、ユーザー提供コンテンツを受け入れるサイトは特に注意が必要です。
- 4. 侵入検知システム(IDS)の更新と監視: ネットワークの監視を強化し、異常な活動がないか常にチェックする。
- 5. バックアップの強化: ランサムウェア攻撃に備えて、定期的にデータのバックアップを行うことが推奨されます。
