Hackers Use Nightmare-Eclipse Tools After Compromising FortiGate SSL VPN Access
2026/04/21 CyberSecurityNews — 侵害済の FortiGate SSL VPN を介した不正アクセスと見られる、深刻なインシデントが続いている。実環境で検出されたのは、公開されている Nightmare-Eclipse (別名 Chaotic Eclipse)/BlueHammer/RedSun/UnDefend などの権限昇格ツール用いた侵入キャンペーンである。これらのツールが、稼働中のエンタープライズ環境に対して実際に展開された、初の事例が確認されたことになる。このインシデントは、グローバルなセキュリティ・チームに対して緊急の警鐘を鳴らすものである。
Chaotic Eclipse として知られるセキュリティ研究者が開発したツールが、このキャンペーンの中心にいる。この匿名の人物は、Microsoft の脆弱性開示プロセスに不満を抱き、その報復として一連のローカル権限昇格 (LPE) エクスプロイトを公開した。
BlueHammer/RedSun/UnDefend の 3 つのツールは、Windows Defender の特権操作におけるロジック不備を悪用するものだ。それらを悪用する攻撃者は、非特権ユーザー・アカウントから SYSTEM レベルへの昇格や、管理者権限を必要としない方式で、Defender のセキュリティ機能を完全に無効化する。
2026年4月の Patch Tuesday アップデートにおいて、Microsoft は BlueHammer に対応するかたちで、脆弱性 CVE-2026-33825 に対応している。しかし、現時点においては、RedSun および UnDefend は未パッチのゼロデイであり、完全に更新された Windows システムに対しても、依然として悪用が可能な状態にある。
FortiGate SSL VPN アクセスを利用する Nightmare-Eclipse ツール
2026年4月10日に Huntress が確認したのは、”FunnyApp.exe” というバイナリが被害ユーザーの Pictures フォルダから実行されたことだ。その後に、Defender により Exploit:Win32/DfndrPEBluHmr.BZ として隔離された事象を検知し、BlueHammer の実環境利用の疑いを初めて報告した。このバイナリは、公開されている BlueHammer の GitHub リポジトリから直接取得されたビルドである。
2026年4月16日には活動がエスカレートし、ユーザーの Downloads ディレクトリからの “RedSun.exe” の実行、および \ks\、\kk\ といった 2 文字の短いサブフォルダからの UnDefend バイナリ “undef.exe” の実行が、複数回にわたり観測された。
攻撃者の未熟さを示す兆候として、UnDefend 実行時に “-agressive” フラグ (スペルミス) や無効なヘルプフラグを指定していたことが確認されており、ツールの仕様を十分に理解していないことが示唆される。こうした背景もあってか、BlueHammer による認証情報の抽出や RedSun によるシステム・サービスの上書きは、いずれも失敗に終わっている。最終的に、UnDefend も Huntress の SOC による対応中に終了させられた。
その一方で、顧客から提供された VPN ログからは、重要な事実が判明している。2026年4月15日 (13:44 UTC) に確認されたのは、ロシアの IP “78.29.48[.]29″ からの SSL VPN 接続の確立である。その後に、”212.232.23[.]69″ (シンガポール)/”179.43.140[.]214” (スイス) からも、同一アカウントによる不正セッションが確認された。この複数地域からのアクセス・パターンは、認証情報の悪用/再販売/共有が行われた事実を強く裏付けている。
Huntress が特定した中で、最も危険なコンポーネントは Go 言語で書かれた BeigeBurrow である。”agent.exe -server staybud.dpdns[.]org:443 -hide” として実行されながら、Yamux マルチプレクシング・ライブラリを用いることで、侵害ホストと攻撃者インフラの間に秘匿された TCP リレーを確立する。
これは、通常の Web 通信に使用されるポート 443 の、遮断されにくい性質を突いた攻撃である。他のツールが失敗する中で、BeigeBurrow だけがアウトバウンド接続に成功し、攻撃者の目的を達成するコンポーネントとなった。なお、別の無関係な侵入インシデントでも BeigeBurrow が確認されているが、現時点でその帰属は不明である。
さらに、侵入後の列挙コマンド whoami /priv、cmdkey /list、net group などを介して、実際にキーボード操作を行う攻撃者の存在も確認された。whoami /priv に関しては、”M365Copilot.exe” プロセスから直接起動されていた。この異常な挙動は、完全には解明されていないが、初期侵入の直後と BlueHammer の試行直後に発生したことが記録されている。
侵害指標 (IoCs)
| Indicator | Type | Description |
|---|---|---|
78.29.48[.]29 | IP | SSL VPN source, Russia |
212.232.23[.]69 | IP | SSL VPN source, Singapore |
179.43.140[.]214 | IP | SSL VPN source, Switzerland |
staybud.dpdns[.]org | Domain | BeigeBurrow C2 server |
FunnyApp.exe, RedSun.exe, undef.exe, z.exe | File | Nightmare-Eclipse binaries |
Exploit:Win32/DfndrPEBluHmr.BZ | Defender Alert | BlueHammer detection signature |
a2b6c7a9...e2876b7c | SHA-256 | BeigeBurrow agent.exe hash |
緩和策ガイダンス
これらのバイナリの実行が確認された場合には、最優先のインシデントとして扱う必要がある。Huntress は以下の即時対応を推奨している:
- 即時パッチ適用:Microsoft の 2026年4月 Patch Tuesday アップデートを適用し、CVE-2026-33825 を修正する。
- ステージング・アーティファクトの探索:Pictures\ や Downloads\ 配下の短いサブフォルダなどの、ユーザー書き込みが可能なパスを調査し、FunnyApp.exe/RedSun.exe/undef.exe/z.exe を確認する。
- VPN 認証ログの確認:短時間で複数国から認証しているアカウントを検出する。
- トンネリング挙動の遮断および監視:agent.exe の -server/-hide フラグ付き実行を調査し、staybud.dpdns[.]org をブロックする。
- 侵入後列挙の検知:whoami /priv、cmdkey /list、net group などが、通常とは異なる親プロセスから生成された場合にアラートを発報する。
BeigeBurrow に対する YARA 検知ルールが公開されており、コミュニティ全体での検知の強化に寄与している。
訳者後書:一連のインシデントは、FortiGate SSL VPN の認証情報が不正に利用されたことから始まっています。攻撃の主な原因は、Windows Defender の特権操作におけるロジックの不備を突いた、公開済みの権限昇格ツールの悪用です。これにより、非特権ユーザーが SYSTEM レベルへ昇格するなどのリスクが生じました。 Microsoft は、CVE-2026-33825 として BlueHammer に対応しましたが、RedSun や UnDefend は未パッチのゼロデイ脆弱性として残っています。また、通常の通信を装うポート 443 を悪用するバックドアの設置も、被害を広げる一因となりました。ご利用のチームは、ご注意ください。よろしければ、Chaotic Eclipse での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.