Windows WebDAV ゼロデイ CVE-2025-33053 の悪用:APT グループ Stealth Falcon の高度な戦略

APT Hackers Exploited Windows WebDAV 0-Day RCE Vulnerability in the Wild to Deploy Malware

2025/06/10 CyberSecurityNews — APT グループ Stealth Falcon による高度なサイバー攻撃キャンペーンでは、未知とされてきたゼロデイ脆弱性が悪用され、トルコの大手防衛企業を標的とする、リモートからマルウェアが実行された。この攻撃では、リモート・コード実行の脆弱性 CVE-2025-33053 が悪用された。それにより脅威アクターは、正規の Windows ツールの作業ディレクトリを操作し、攻撃者が管理する WebDAV サーバからの、悪意のファイル実行を可能にしていた。

Check Point Research による責任のある情報開示を受けた Microsoft は、2025年6月の月例パッチ・アップデートの一環として、この脆弱性に対するセキュリティ・パッチをリリースした。

“TLM.005_TELESKOPIK_MAST_HASAR_BILDIRIM_RAPORU.pdf.url” という悪意の “.url” ファイルを介して、この脆弱性は悪用された。このファイルは、トルコの防衛請負業者を標的とするスピアフィッシング・メールにおける、アーカイブ添付ファイルとして配布されたと推測される。

この “.url” ファイルは、本来であれば正規の Internet Explorer 診断ユーティリティ “iediagcmd.exe” を参照するものだが、作業ディレクトリでの操作により、攻撃者が管理する WebDAV サーバ “\summerartcamp[.]net@ssl@443/DavWWWRoot\OSYxaOjr” を参照するように変更されていた。

.NET Process.Start() メソッドで使用される検索順序を悪用する、この巧妙な手法により、正規のツールがシステム・ファイルではなく、リモート・サーバ上の悪意のファイルを実行するよう仕向けていた。

その結果として、WebDAV サーバから生成された悪意の “route.exe” が、従来のシグネチャ・ベースの防御を回避し、Process Hollowing による任意のコード実行が可能になっていた。

Certificate for a Malicious file (Source: Check Point)
APT ハッカーが WebDAV ゼロデイ脆弱性を悪用

Stealth Falcon (別名 FruityArmor) は、遅くとも 2012年からサイバー・スパイ活動を行ってきた APT グループである。このグループは、主に中東/アフリカの重要組織を標的としており、最近ではトルコ/カタール/エジプト/イエメンの政府機関および防衛部門に対する活動が確認されている。

Infection chain (Source: Check Point)

Check Point Research によると、この攻撃は多段階の感染チェーンを展開し、最終的に Mythic Command and Contorl フレームワーク向けにカスタム・ビルドされた、インプラント Horus Agent を展開していた。

ハヤブサの頭を持つ、エジプトの天空の神にちなんで名付けられた Horus Agent は、このグループが以前に使用していた、カスタマイズされたインプラント Apollo の進化形である。このマルウェアは、コード仮想化/文字列暗号化/APIハッシュ化などの、高度な回避技術を用いて検出を回避していく。

イニシャル・インプラントだけではなく、複数の未知のカスタム・ツールが、Stealth Falcon の攻撃ツール群に取り込まれていることを研究者たちは特定した。それらのツールとして挙げられるのは、仮想ディスク・コピーにアクセスすることでファイル・ロックを回避する DC Credential Dumper や、シェル・コード実行リクエストをリッスンするパッシブ・バックドア、RC4 暗号化を使用するカスタム・キーロガーなどがある。

Horus Agent は、偵察機能に重点を置くものであり、この脅威アクターは被害者のマシンのフィンガープリントを取得し、その価値を評価した後に、高度なペイロードを展開するという戦術をとっていた。このアプローチは、高度なポスト・エクスプロイト・ツールの露出を防ぐのに役立つ。

Stealth Falcon は、NameCheap レジストラを通じて購入した、”.net/.com” 正規 TDL を常用/再利用している。この戦略により、Stealth Falcon のインフラは正規のトラフィックに溶け込み、攻撃者の特定を困難にしている。

このグループの継続的な進化が示すのは、活動におけるステルス性とデジリエンスの維持である。商用コード難読化ツールや、カスタム修正を用いることで、ペイロードのリバース・エンジニアリングや追跡を困難にしている。

この最新の攻撃キャンペーンが浮き彫りにするのは、ゼロデイ・エクスプロイトと WebDAV 操作などの革新的な攻撃ベクターを組み合わせることで、世界中の重要インフラや防衛組織を標的とする、高度な APT グループによる継続的な脅威である。

この Stealth Falcon による攻撃は、”.url” ファイルを悪用する WebDAV 経由でのマルウェア展開という、新たなゼロデイ悪用の手法を示しています。.NET の検索順序を突くアプローチや、正規プロセスの悪用により、従来の防御をすり抜けると解説されています。よろしければ、カテゴリ LOLBin を、ご参照ください。