Windowsにおける未パッチのゼロデイ、国家支援型APT 11組に2017年から悪用される

Windowsにおける未パッチのゼロデイ、国家支援型APT 11組に2017年から悪用される

The Hacker News – Mar 18, 2025

Microsoft Windowsにおけるパッチ不在のゼロデイ脆弱性が、2017年から中国、イラン、北朝鮮、ロシアに関連する11組の国家支援型APTグループによって悪用されていたことをトレンドマイクロのZero Day Initiative（ZDI）が報告。同ゼロデイは、北米やヨーロッパ、アジア、南米、オーストラリアの政府、金融、電気通信、軍事、エネルギーの各セクターにおける組織に対するデータ窃取やスパイ行為、金銭の獲得を目的としたキャンペーンで使われているという。

ZDIが「ZDI-CAN-25373」として追跡するこのゼロデイは、細工したWindowsショートカット（.LNK）ファイルを使って悪用することにより、ターゲットのマシン上で隠し有害コマンドを実行できるようになる脆弱性。攻撃は.LNKファイル内に隠されたコマンドライン引数を利用して悪意あるペイロードを実行するものであるため、検出が難しくなっているという。観測された攻撃において、.LNKファイルはLumma StealerやGuLoader、Remcos RATといった既知のマルウェアの配布手段になっていたとされ、特に注目すべきキャンペーンとしては、Evil CorpがZDI-CAN-25373を悪用してRaspberry Robinを拡散していた事例が挙げられている。

ZDIはZDI-CAN-25373を悪用する.LNKファイルのアーキテクトを1,000件近く特定しており、大半のサンプルがEvil Corp（Water Asena）、Kimsuky（Earth Kumiho）、Konni（Earth Imp）、Bitter（Earth Anansi）、ScarCruft（Earth Manticore）に結び付くものだと評価している。また、この脆弱性の利用が観測された11組の国家支援型APTのうち、およそ半数が北朝鮮のグループであることが報告されており、同国のサイバー計画においては多様な脅威グループが協力し合っていることが伺えるとZDIは指摘した。一方で、ZDI-CAN-25373は国家の支援を受けているわけではないAPTグループやサイバー犯罪グループにも幅広く悪用されているという。

ZDI-CAN-25373はZDIのバグ報奨金プログラムを通じてマイクロソフトに開示されたが、マイクロソフトはこれを深刻度の低い脆弱性と評価しており、当面の間はパッチをリリースする予定がないとのこと。

【無料配布中！】インテリジェンス要件定義ガイド

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件（PIR）を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。

＜ガイドブックの主なトピック＞

本ガイドブックでは、優先的インテリジェンス要件（PIR）の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

• 脅威プロファイルの確立
• ステークホルダーの特定・分析
• ユースケースの確立
• 要件の定義と管理
• データの収集と処理
• 分析と生産
• 報告
• フィードバック
• 実効性の評価