概要
最近、ロシアのハッカーがCVE-2025-26633という脆弱性を悪用して、SilentPrismとDarkWispという2つの新しいバックドアを配布していることが発覚しました。この攻撃は、Microsoft Windowsおよび脆弱性のあるWindowsシステムを使用する組織に影響を及ぼします。
CVE
CVEとは、「Common Vulnerabilities and Exposures」の略称です。CVEは、コンピューターシステムのセキュリティ上の脆弱性や問題点を分類し、管理するためのフレームワークです。このシステムでは、既知のセキュリティ脆弱性に一意のID番号(CVE ID)が割り当てられます。これにより、開発者、セキュリティ研究者、ユーザーなどが同じ脆弱性について話し合ったり、情報を共有したりすることが容易になります。CVEリストは、世界中のセキュリティ関連の組織や個人が共同で管理しており、新たな脆弱性が発見されるたびに更新されています。
CVE-2025-26633とは
CVE-2025-26633は、Microsoft Management Console(MMC)フレームワークに存在する脆弱性です。悪意のあるMicrosoft Console(.msc)ファイルを使用してマルウェアを実行するために利用されています。この脆弱性は、システム管理者がMMCを使用してシステム設定やソフトウェアのインストールを行う際に発生します。攻撃者は、この脆弱性を悪用して、マルウェアを実行し、システムへの不正なアクセスを取得することができます。
攻撃の詳細
ロシアのハッカーは、プロビジョニングパッケージ(.ppkg)、署名付きMicrosoft Windows Installerファイル(.msi)、および.mscファイルを使用して情報泥棒とバックドアを配布しています。SilentPrismとDarkWispの2つのPowerShellバックドアは、システムの永続化、リモート制御、データの盗難など、さまざまな機能を持っています。また、検出を避けるために反分析技術も組み込まれています。
Water Gamayunグループ
この攻撃は、Water Gamayun(別名EncryptHub、LARVA-208)と呼ばれるハッキンググループによって行われていると考えられています。彼らは、GitHubリポジトリ「encrypthub」を使用してさまざまなマルウェアファミリーを配布していたことが発覚しています。
対策
この攻撃に対する対策として、Microsoft Windowsの最新のセキュリティアップデートを適用し、不正な.mscファイルやプロビジョニングパッケージを警戒する必要があります。また、システムの永続化とデータの盗難を防ぐために、適切なセキュリティ対策を講じることも重要です。さらに、CVEリストを定期的に確認し、自分のシステムが抱える可能性のある脆弱性に対して適切な対策を講じることが必要です。
専門用語解説
- ゼロデイ攻撃:既知の脆弱性が存在しない状態で行われる攻撃
- バックドア:不正なアクセスを可能にするプログラム
- PowerShell:Windows用のコマンドラインシェルおよびスクリプト言語
- プロビジョニングパッケージ:システム設定やソフトウェアのインストールに使用されるファイル