PR

WebRATがGitHubの偽PoCで拡散:MSHTML/OwnID/RasMan悪用

Security

Source:https://www.bleepingcomputer.com/news/security/webrat-malware-spread-via-fake-vulnerability-exploits-on-github/

🛡 概要

開発者やセキュリティ研究者を狙い、WebRATがGitHub上の偽PoC(概念実証)リポジトリ経由で配布されています。過去には海賊版ソフトやゲームチート経由で拡散したWebRATは、情報窃取機能とバックドア機能を持つマルウェアです。Kasperskyの分析によれば、少なくとも15件のリポジトリが確認され、内容はAI生成と見られる整った説明文と「脆弱性の悪用コード」を装った配布物で構成されていました。本件で餌として使われた識別子には、CVE-2025-59295(MSHTMLのヒープオーバーフロー)、CVE-2025-10294(OwnID Passwordless Loginの認証回避)、CVE-2025-59230(Windows RasManの権限昇格)が含まれます。これらCVEの技術詳細やCVSSは本稿の独自確認外であり、公開スコアは未確認です。

🔍 技術詳細

偽PoCはパスワード付きZIPで配布され、内容物は次の通りです。(1)パスワード文字列と同名の空ファイル(解凍パスワードのヒント)、(2)破損したダミーDLL(研究者の注意をそらすデコイ)、(3)実行チェーンを開始するバッチファイル、(4)メインのドロッパー「rasmanesc.exe」。ユーザーが「PoC」と信じて実行すると、バッチ経由でドロッパーが起動し、管理者権限獲得を試みた後、Windows Defenderの無効化など防御回避を行い、ハードコードされたURLからWebRAT本体をダウンロード・実行します。持続化はレジストリRunキーやタスクスケジューラを用いて実装され、システムディレクトリ風のランダムパスへ自身を配置して正規ファイルに偽装します。WebRAT自体は既知機能と同等とされ、Steam、Discord、Telegram、暗号資産ウォレットの認証情報窃取、スクリーンショット取得、Webカメラ監視などを備えます(Solar 4RAYSの先行報告に合致)。攻撃者はメディアで注目された脆弱性名をタイトルやREADMEに配置し、あたかも直近CVEのPoCであるかのように見せかけることで、検証環境外での実行を誘引しています。これらのリポジトリは既に削除済みと報告されていますが、同手口の再出現に注意が必要です。

なお、CVE-2025-59295(MSHTMLのRCE)、CVE-2025-10294(WordPress OwnIDプラグインの認証回避)、CVE-2025-59230(RasManのSYSTEM昇格)は、本件で「餌」として列挙された識別子です。CVSSなど公式指標は未確認であり、実運用への影響評価はベンダーの正式情報で検証してください。

⚠ 影響

開発端末や研究用端末が侵害されると、各種アカウント・トークン・ウォレットの漏えい、スクリーンショットやWebカメラ映像の流出、さらには管理権限の奪取を足掛かりにした横展開のリスクが生じます。偽PoCの性質上、組織のセキュリティ検証プロセスに対する信頼が揺らぎ、CI/CD資格情報やリポジトリアクセストークンの窃取による供給網リスクにも波及します。

🛠 対策

  • 隔離環境の徹底:PoCや未知ツールはスナップショット可能なオフラインVM(ネット分離・書込み保護)で実行。ホストOSとの共有フォルダ無効化。
  • 実行制御:WDAC/AppLockerでユーザー書込み領域(%Temp%、%AppData%等)からの実行をブロック。PowerShellはConstrained Language Modeや署名必須化。
  • Defender強化:Tamper ProtectionとASRルールを有効化。特に未署名/不審な実行ファイルの起動制限、Office/スクリプトからの子プロセス生成抑止。
  • ゲートウェイ対策:Web/メールでのパスワード付きアーカイブの受信を制限し、サンドボックス解析を必須化。
  • GitHub衛生:作者の履歴、署名、スター/フォークの不自然な急増、バイナリ同梱の有無を確認。PoCは原典(ベンダー/信頼コミュニティ)でクロスチェック。
  • 資格情報保護:ブラウザやメッセンジャーの保存パスワード無効化、FIDO2等のフィッシング耐性MFA、開発用トークンの短寿命化とスコープ最小化。

📌 SOC視点

  • プロセス監視:Security 4688/Sysmon 1でcmd.exe→bat→rasmanesc.exeの連鎖、ユーザー書込み領域からのEXE実行を検知。コマンドラインにSet-MpPreferenceやAdd-MpPreferenceが含まれる起動を高リスク判定。
  • Defenderログ:Microsoft-Windows-Windows Defender/Operationalの5001(リアルタイム保護無効化)、5007(設定変更)。
  • レジストリ・タスク:Sysmon 13(Run/RunOnceキー変更)、Task Scheduler Operational 106/140(タスク登録/更新)。
  • ネットワーク:未知実行ファイル(例:rasmanesc.exe)による初回外向きHTTP/HTTPS通信(Sysmon 3、プロキシログ)。User-Agentの異常やハードコードURLへの即時アクセスを相関。
  • ファイルイベント:ZIP解凍直後にDLL/EXE/バッチが同一ディレクトリに生成されたパターン、解凍ツール(7z.exe、WinRAR.exe)のパラメータにパスワード指定がある実行。

📈 MITRE ATT&CK

  • 初期アクセス/実行: T1204.002 User Execution(偽PoCの実行), T1059.003 Windows Command Shell(バッチによる実行チェーン)
  • 偽装: T1036 Masquerading(デコイDLLや正規風パス/名称の悪用)
  • 権限昇格: T1068 Exploitation for Privilege Escalation(ドロッパーが昇格を試行)
  • 持続化: T1547.001 Registry Run Keys/Startup Folder, T1053.005 Scheduled Task
  • 防御回避: T1562.001 Impair Defenses(Defender無効化), T1112 Modify Registry
  • 取得/監視: T1555 Credentials from Password Stores(ブラウザ等), T1113 Screen Capture, T1125 Video Capture
  • ダウンロード: T1105 Ingress Tool Transfer(ハードコードURLから本体取得)

根拠: 偽PoC実行を起点にバッチとドロッパーが連鎖し、権限昇格・Defender無効化・持続化・外部取得・監視/窃取といった挙動が報告と一致します。

🏢 組織規模別助言

  • 〜50名(small):検証端末を専用VMに集約、インターネット分離とスナップショット復元を標準化。WDACの基本ポリシーとEDRのクラウド検知テンプレートを適用。
  • 50〜500名(mid):Dev/Secのゲートプロセスを文書化。GitHub利用規約(第三者PoC導入の事前審査)、ASRルール一括適用、プロキシでパスワード付きアーカイブを分離解析。
  • 500名以上(large):開発ネット分割、コード署名/アーティファクト検証(SBOM・署名検証)をCIに組込み。脅威ハンティング(Sysmon全社配備、KQLハンティングルール)と攻撃シミュレーションを四半期実施。

🔎 類似事例

  • 偽PoCを悪用した過去のキャンペーン:Log4Shell(CVE-2021-44228)の偽PoC拡散、Follina(CVE-2022-30190)偽PoC、PrintNightmare(CVE-2021-34527)関連の悪性PoC報告など。
  • 最近の偽「LDAPNightmare」PoC拡散を装ったインフォスティーラ配布報告。

🧭 次の一手

まずは検証端末の実行制御とTamper Protectionの有効化、Sysmon/Defenderログの可視化を確認してください。続いて、偽PoC対策として社内のPoC受入れ手順(信頼性確認、隔離実行、証跡保存)を標準化しましょう。最後に、開発者向けセキュア検証ガイドとEDRハンティング手順書をチームで共有し、疑わしいリポジトリやバイナリは必ず複数ソースで検証してください。