Windows MMC の脆弱性 CVE-2025-26633 を悪用:Water Gamayun が展開するキャンペーンとは?

CVE-2025-26633: Water Gamayun Exploits Windows MMC in Active Zero-Day Campaign

2025/03/25 SecurityOnline — Windows の脆弱性 CVE-2025-26633 だが、Water Gamayun として知られるロシア由来の高度な脅威アクターにより積極的に悪用されているという。この脅威アクターは、EncryptHub や Larva-208 といった別名でも活動している。Trend Research が発表したのは、この攻撃者が MSC EvilTwin という手法を用いて、Windows の Microsoft Management Console (MMC) を悪用するキャンペーンに関する情報である。

Trend Research のレポートは、「この脅威アクターは、革新的なアプローチを採用している。具体的に言うと、.msc ファイルと Multilingual User Interface Path (MUIPath) を操作して、悪意のペイロードのダウンロードと実行を達成し、感染させたシステムから機密データを盗み出している。この方法により、攻撃者は従来のセキュリティ対策を回避し、標的システム内に足掛かりを得た後に、永続性を維持している」と指摘している。

Water Gamayun CVE-2025-26633 MSC EvilTwin
Windows Firewall file (wf.msc) | Image: Trend Micro

Trend Micro のコードである ZDI-CAN-26371 として追跡されている、この脆弱性は、Windows でカスタム管理ツールを作成するために使用される、”.msc” (Microsoft Console) ファイルの操作に関係するものだ。この攻撃者は、Multilingual User Interface Path (MUIPath) を悪用することで、システムを騙して悪意のペイロードを実行できる。

このエクスプロイトの核心は、同じ名前の “.msc” ファイルを2つ作成するという巧妙な手法にある。そのうちの1つは、クリーンで無害なファイルです。もう 1 つは、en-US などの言語固有のディレクトリ内に隠される、悪意のバージョンである。無害なバージョンが実行される場合に、mmc.exe は MUIPath からファイルを読み込むため、事実上、”EvilTwin (悪意の双子)” は入れ替わることになる。

研究者たちは、「クリーンな “.msc” ファイルが実行される場合であっても、mmc.exe はオリジナル・ファイルではなく悪意のファイルを読み込み、実行する」と説明している。

多言語サポート用に設計された、正当な Windows 機能である MUIPath の動作は、ローカライズされたリソースの読み込みにおいて、きわめて巧妙に悪用されてしまう。

Water Gamayun のキャンペーンは、次のような複数の手法を重ね合わせている。

  • ExecuteShellCommand の悪用:細工された “.msc” ファイルに Shockwave Flash オブジェクトを埋め込むことで、攻撃者は MMC の Web レンダリング機能を乗っ取り、被害者のマシン上でコマンドを実行する。
  • 信頼できるディレクトリの偽装:システム・パスを僅かに変更する、”C:\Windows \System32″ のようなスペースを取り込んだディレクトリを、他のソフトウェアが正当なものとして扱うように仕向ける。
  • トロイの木馬化された MSI インストーラー:DingTalk などのソフトウェアを装うキャンペーンは、デジタル署名されたインストーラーを使用して、リモートの C2 サーバから EvilTwin ローダーを取得して実行している。

一連のローダーには、$originalConsole と $hackedConsole と呼ばれる、2つの Base64 エンコードされた BLOB が取り込まれている。それらは、正当なものを装っているが、悪意のペイロードの配信/実行のために使用される。

このレポートは、「組織への潜在的な影響が懸念される。この種の脅威により、大きな影響を生じる可能性がある。さらに言えば、深刻なデータ侵害や、甚大な経済的損失につながる可能性がある。特に Microsoft の管理ツールを頻繁に使用する企業は、このキャンペーンの被害に遭うリスクが高くなる」と述べている。

Trend Micro の Zero Day Initiative (ZDI) は、Microsoft と協力して CVE-2025-26633 の脆弱性を公開し、3月11日にパッチをリリースしている。

同社のレポートは、「これらの手法を利用することで、攻撃者は正当な Windows バイナリを介して、悪意のあるペイロードを代理実行できる」と結論付けている。

Water Gamayun のような高度な脅威グループがゼロデイ脆弱性を悪用する現状は、セキュリティ・パッチの適用遅延が、重大なリスクとなる得ることを再認識させます。特に、最近は LOLbin のように正規ツールを悪用する攻撃が増えています。Windows をご利用のチームは、十分にご注意下さい。よろしければ、カテゴリ LOLbin も、ご利用下さい。