WinRAR のゼロデイを悪用:Bitter APT が展開する狡猾な情報窃取キャンペーンとは?

Bitter APT Exploits WinRAR Zero-Day Through Malicious Word Files to Steal Sensitive Data

2025/10/22 gbhackers — Bitter (APT-Q-37) として追跡される脅威グループが、Office マクロの悪用と、未知の WinRAR パス・トラバーサル脆弱性を悪用し、C# バックドアを仕掛けて機密情報を盗み出している。Qi’anxin Threat Intelligence Center の研究者は、この二面的な攻撃が示すのは、同グループの戦術の進化と、中国やパキスタンなどの戦略的な地域における、政府/電力/軍事の重要標的への注力であると警告している。

Bitter (蔓灵花) は、南アジアを拠点として活動していると考えられており、この数年にわたって活動している。これまでに同グループは、政府機関や重要インフラ事業者を標的とする、高度に標的を絞ったスパイ活動を行ってきた。

彼らのツール・セットに伝統的に含まれるのは、マクロが有効な Office ドキュメントと、カスタム・バックドアを仕込んだスピアフィッシング・メールである。

最近のネットワーク・インフラとスクリプト・パターンの分析により、Bitter への帰属が確固たるものとなったが、その中で顕著なのは、以前の Vermillion Bitter キャンペーンと一致するドメインの使用である。

インシデントの概要

Qi’anxin のアナリストが収集したのは、2つの攻撃モードを示す複数のサンプルである。それぞれのモードは、リモート・サーバから任意の EXE ファイルを取得して C# バックドアを展開する。

Mode_1 では、”Nominated Officials for the Conference.xlam” という悪意の XLAM ファイルが、マクロの有効化を被害者に促し、その後に “ファイルの解析に失敗した” という偽のメッセージを表示して、ユーザーに誤った安心感を与える。

Attack Chain 1.
Attack Chain 1.

その一方、バックグラウンドでは埋め込まれた VBA マクロが、Base64 エンコードされた C# ソース・ファイルを “C:\ProgramData\cayote.log” にデコードする。続いて、”csc.exe” によりコードを “C:\ProgramData\USOShared\vlcplayer.dll” にコンパイルし、”InstallUtil.exe” を介してインストールする。

なお、このマルウェアの永続性は、StartUp フォルダに配置されたバッチ・スクリプトによって実現される。このスクリプトは、”hxxps://www.keeferbeautytrends.com/d6Z2.php?rz=” への定期的な接続をスケジュールし、サーバからのさらなる指示を取得する。

Mode_2 では、WinRAR のパス・トラバーサルの脆弱性を悪用する攻撃者が、ユーザーの Word テンプレート (Normal.dotm) を上書きする。

Overview of the incident.
Overview of the incident.

このエクスプロイトでは、無害に見える Document.docx と隠蔽された Normal.dotm の両方が、細工された RAR アーカイブ内にパッケージ化される。そして、被害者がアーカイブを解凍すると、正規のテンプレートが悪意のテンプレートに置き換えられる。

DOCX ファイルを開くと、Word は改竄された Normal.dotm を読み込み、リモート共有をマウントして “winnsc.exe” を実行する。その実体は、以前に確認されたものと同じ C# バックドアである。

当初は、脆弱性 CVE-2025-8088 が原因と考えられたが、テストの結果として確認されたのは、問題となる脆弱性は WinRAR バージョン 7.12 以下にも影響することだった。それが示唆するのは、パッチが適用されていない古い脆弱性の悪用である。

詳細な分析とバックドアの機能

“cayote.log” に保存されているバックドアのソースコードは、AES 復号ルーチンを使用して設定文字列を隠蔽する。

主な機能は、デバイスの詳細 (OS バージョン/アーキテクチャ/ホスト名/一時ディレクトリのパス) を収集し、それらを POST 経由で “hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php” に送信することにある。そしてサーバからのレスポンスには、追加の EXE ペイロードのダウンロード指示がエンコードされている。

TaskprogressAsync static method.
TaskprogressAsync static method.

“drdxcsv34.php” へ向けた後続のリクエストでは、生の EXE データが取得されるが、このマルウェアはバイナリを検証して実行する前に、DOS ヘッダーをプレフィックスとして追加して内容を修復する。その実行結果は、前述の “drxcvg45.php” に報告される。

“winnsc.exe” にも同じバックドア・ロジックが存在するため、最終的には、両方の攻撃ベクターが共通の埋め込み型スクリプトに収束していく。

“teamlogin.esanojinjasvc.com” などの複数のドメインが C2 インフラとして機能しており、すべてが 2025年4月に登録されている。それが裏付けるのは、これらのサンプルが単一の Bitter 攻撃活動に由来するという結論である。

保護に関する推奨事項

Qi’anxin 脅威インテリジェンス。センターがユーザー組織に対して強く推奨するのは、多層化された防御戦略の導入である。

  • 不明なソースからの迷惑メールに含まれる添付ファイルやリンクには注意する。
  • Office アプリケーションでマクロの実行を無効化/制限する。
  • WinRAR などのアーカイブ・ユーティリティに最新のパッチを適用する。
  • ネットワーク・セグメンテーションを導入して、アウトバウンド POST リクエストを監視することで、異常なトラフィックを検出する。
  • Qi’anxin のファイル深度分析プラットフォームなどの、サンドボックス分析プラットフォームを活用し、信頼できないファイルを実行前に検査する。

ソーシャル・エンジニアリングとゼロデイ攻撃を組み合わせる Bitter は、攻撃能力を拡張するための俊敏性を発揮している。このような高度な侵入を阻止するためには、警戒/タイムリーなパッチ管理/プロアクティブな脅威ハンティングが重要である。

Bitter の活動は、二方向からの攻撃手法が組み合わさっているところに特徴があります。具体的には、ユーザーが有効化する Office マクロと、未パッチの WinRAR 脆弱性によるパス・トラバーサルが、直接的な侵入口になっています。どちらも古典的な手法ですが、これを組み合わせる Bitter は、C# バックドアをリモートで展開するチェーンを確立しています。ご利用のチームは、ご注意ください。よろしければ、RAT で検索を、ご参照ください。