脆弱性ハンターにサイバー犯罪者：2つの顔持つアクターEncryptHubの正体が暴かれる（CVE-2025-24061、CVE-2025-24071）

脆弱性ハンターにサイバー犯罪者：2つの顔持つアクターEncryptHubの正体が暴かれる（CVE-2025-24061、CVE-2025-24071）

Security Affairs – April 07, 2025

セキュリティ企業Outpost24のKrakenLabsが公開したレポートにより、マイクロソフトにWindowsのセキュリティ欠陥2件を報告した脅威アクターの素顔が見えてきた。

この人物はウクライナ出身の男性で、脅威アクターEncryptHub（別名SkorikARI）の背後にいるとされる単独のアクター。10年前に故郷を離れてルーマニアの近くに移住し、IT業務と独学の数年間を経て2022年に活動を停止（おそらく刑務所での服役が原因と思われる）したが、2024年のサイバー犯罪転向後にマルウェアと脆弱性の研究などで広く注目を集めるようになったとされる。

EncryptHubはサイバー犯罪に関与する一方で正当なセキュリティ研究も行っており、自身のキャンペーンで悪用したと思われる以下の脆弱性をマイクロソフトに報告し、評価されている（いずれも2025年3月の月例パッチで修正済み）。

• CVE-2025-24061（CVSS スコア: 7.8）– Windows Mark of the Web（MOTW）の保護メカニズムの障害により、権限のない攻撃者がセキュリティ機能をローカルでバイパスできる
• CVE-2025-24071（CVSS スコア: 6.5）– Windowsファイルエクスプローラーで権限のないアクターに機微情報が露出し、権限のない攻撃者にネットワーク上でなりすましを実行される

しかし、EncryptHubはサイバー犯罪における運用上のセキュリティで重大なミスを重ね、最終的に正体を暴かれることになったようだ。そのミスとはパスワードの再利用、2要素認証を有効にしなかったこと、ハッキングで使用しているユーザー名と認証情報を私生活でも使ったこと、Telegramボットの設定ミスなどが挙げられるが、致命傷になったのはC2サーバーにおけるアクセス管理の不備により誰もが認証なしでアクセス可能な状態になっていたことだとKrakenLabsは指摘する。

さらにこのレポートでは、EncryptHubがChatGPTを多用していたことや、ホワイトハットとブラックハットの間で葛藤しながらもサイバー犯罪に傾倒したこと、自身の悪名を武器にした「セキュリティ」ブランドの立ち上げを計画していることなどが明らかにされた。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性