Webratは、インフォスティーラー機能付きバックドアです。
これはそんなに新しいものではなく、2025年の最初あたりから観測されています。
バックドアそのものの実装はそのころから観測されている内容と変わっていないのですが、その観測される場所に変化があることがわかりました。
どんな様子なのでしょうか。
- 新しい活動場所:GitHub
以前のWebratは、有償ゲームの海賊版やプログラムを不正に改ざんしてゲームを有利に進める行為を実現するチートプログラムなどを装って配布されていました。
しかし、およそ2025年9月頃から、別の場所での配布が確認されるようになってきています。
世の中には次々の多くの脆弱性が発見されて報告されてきます。
そして、そのなかの少なくない数の脆弱性が、研究者によって調査され、調査結果の一つ形式として、PoC(概念実証)を実現するためのコード付きで公開されます。
同じ脆弱性を調査する研究者はこういった公開されたPoCコードを入手し、自分の研究の参考にしたりすることも少なくありません。
このPoCコードの配布をマルウェアの配布場所にするようになりました。
例えば、次の脆弱性のためのPoCコードを装っての配布が確認されています。- CVE-2025-59295
Windows MSHTML/Internet Explorerコンポーネントにおけるヒープベースのバッファオーバーフローの脆弱性です。
ネットワーク経由で送信される特別に細工されたデータによって任意のコード実行が可能になります。
CVSS Baseスコアは8.8です。 - CVE-2025-10294
WordPressのOwnIDパスワードレスログインプラグインにおける重大な認証バイパスの脆弱性です。
共有シークレットの検証が十分でないため、認証されていない攻撃者が、管理者を含む任意のユーザとして、認証情報なしでログインできる可能性があります。
CVSS Baseスコアは9.8です。 - CVE-2025-59230
Windowsのリモートアクセス接続マネージャーサービスにおける権限昇格の脆弱性です。
ローカル認証された攻撃者が不適切なアクセス制御を悪用し、影響を受けるWindowsインストールにおいて権限をSYSTEMレベルに昇格させる可能性があります。
CVSS Baseスコアは7.8です。
- CVE-2025-59295
マルウェアの内容そのものはWebratの登場したころの内容と比較して変化していません。
しかし、配布場所が変更されていることが確認された、という話です。
これは脅威アクターが狙う人物像を変更したということなのかもしれません。
PoCコードを入手しようとする人は、なんらかの研究者であることが考えられます。
そういったプロファイルの人物は、そうでない人に比較して機密情報にアクセスする機会が多い、とか、監視カメラにアクセスするなどのような他のセキュリティの領域のアクセスを行っていると想定できる可能性が高い、などという想定がもしかしたらあるのかもしれません。
いろいろな背景でPoCコードを入手することになる可能性が考えられますが、内容をしっかり把握することができていない段階で安易に入手したPoCコードを動作させてしまうようなことが、いかに危険であるかを再認識する必要があるように思えます。
もちろん、賢明な研究者はこういったことは理解し注意されていることと思いますが、研究の初学者においては、ともすると、うっかり入手したPoCコードを通常の環境で実行してしまった、などということを実施してしまっているかもしれません。
根拠なく自分は大丈夫、などと油断することなく、自分が実施しようとしていることが安全なのかに注意しつつ活動をしていくことが必要に思えます。
From cheats to exploits: Webrat spreading via GitHub
https://securelist.com/webrat-distributed-via-github/118555/
| この記事をシェア |
|
|---|
