Attackers deliver ShadowPad via newly patched WSUS RCE bug
2025/11/24 SecurityAffairs — Windows WSUS の脆弱性 CVE-2025-59287 を悪用する脅威アクターたちが、ShadowPad マルウェアを配布していると、AhnLab Security Intelligence Center (ASEC) の研究者たちが報告した。ShadowPad は中国由来の APT グループに広く利用され、非公開で流通するバックドアである。この攻撃者は、WSUS サーバへのアクセス権を取得した後に、PowerCat を用いてシステム・シェルを取得し、”certutil” と “curl” により ShadowPad を取得しインストールしている。研究者たちは、この侵入チェーンと、ShadowPad の動作、推奨される防御策を詳細に説明している。
Microsoft は 2025年10月に、活発に悪用されている CVE-2025-59287 (CVSS:9.8) に対する out-of-band の修正を公開した。この脆弱性は、CODE WHITE GmbH の研究者 MEOW と Markus Wulftange により報告されたものだ。
この脆弱性は Windows Server Update Service (WSUS) に存在する信頼されていないデータのデシリアライゼーションに起因し、攻撃者に対してネットワーク経由での任意のコード実行を許すものだ。この欠陥を悪用する未認証のリモート攻撃者は、GetCookie() エンドポイントにおける AuthorizationCookie オブジェクトの安全でないデシリアライゼーションを誘発して、SYSTEM 権限でのリモート・コード実行 (RCE) に至るという。
この問題は、BinaryFormatter の使用に原因がある。この機能は、Microsoft が固有のセキュリティ・リスクを理由に、2024 年に非推奨とし、.NET 9 から削除したものだ。
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。また、Hawktrace の研究者たちは、この脆弱性に対する PoC エクスプロイト・コードを公開している。
ASEC によると、この攻撃者は WSUS RCE の脆弱性 CVE-2025-59287 を悪用し、WSUS を有効化している Windows Server システムに侵入した。また、PoC が公開された後に、攻撃者は PowerCat を実行してリモート CMD シェルを取得した。11月6日に攻撃者は、再び同じ脆弱性を悪用し、”curl” と “certutil” の実行によりリモート・サーバから ShadowPad のコンポーネントを取得/デコードし、マルウェアをインストールした。
ASEC のレポートには、「初期アクセスを取得した後の脅威アクターは、11月6日に同じ脆弱性を悪用し、正規の Windows ユーティリティである “curl.exe” と “certutil.exe” を実行して ShadowPad マルウェアをインストールした」と記されている。
ShadowPad はスタンドアロンの EXE ではなく、DLL サイドローディングを使用するものだ。ASEC が詳述した攻撃では、”ETDCtrlHelper.exe” が悪意ある DLL (ETDApix.dll) を読み込み、メモリ内で ShadowPad ローダーを実行する。また、”.tmp” ファイルには中核となるバックドア・ロジックが格納される。
このマルウェアは Q-X64 という名称で永続化され、スケジュールされたタスクを設定し、複数の起動パスを通じて永続化し、システム・プロセスに挿入される。さらに、偽装された Firefox ヘッダーを使用して、HTTP/HTTPS 経由で C2 サーバ (163.61.102[.]245) に接続する。
ASEC のレポートは、「この脆弱性の PoC エクスプロイト・コードが公開されると、それを即座に武器化した攻撃者は、WSUS サーバ経由で ShadowPad マルウェアを配布した。この脆弱性はシステム・レベルの権限でリモート・コード実行を可能にするため、きわめて深刻であり、潜在的な影響を大幅に増大させる」と結論付けている。
WSUS を使用する組織にとって必要なことは、脆弱性 CVE-2025-59287 にパッチを適用し、WSUS から Microsoft Update サーバへのアクセスを制限することだ。さらに、ポート 8530/8531 への不要なトラフィックをブロックし、PowerShell/certutil/curl の使用や異常なネットワーク接続などの、不審なアクティビティを監査する必要がある。
WSUS が信頼して処理してしまうデータに問題があると、この脆弱性を悪用する攻撃者が、SYSTEM 権限で任意のコード実行が可能になります。古い BinaryFormatter を使い続けていたことが問題の根本であり、PoC 公開後に即座に悪用されるという展開も危険性の高さを示しています。正規のツールである curl や certutil を使ってマルウェアを取得する手口も巧妙であり、侵入後の挙動が目立ちにくいと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-59287 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.