Last Updated on 2025-06-19 07:43 by admin
Trend Micro社の研究者Jovit Samaniego、Aira Marcelo、Mohamed Fahmy、Gabriel Nicoletaが2025年6月18日に発表した分析により、Water Curseと呼ばれる脅威アクターが最大76のGitHubアカウントを使用して多段階マルウェアキャンペーンを展開していることが判明した。
このキャンペーンは先月(2025年5月)に初めて発見されたが、関連活動は2023年3月まで遡る可能性がある。
Water Curseは一見無害なペネトレーションテストユーティリティを装ったリポジトリを設置し、Visual StudioプロジェクトのPreBuildEventタグ内に悪意のあるバッチファイルコードを埋め込んでいる。
マルウェアはSMTPメール爆弾やSakura-RATなどのペイロードを含み、Visual Basic Script(VBS)とPowerShellで書かれた難読化されたスクリプトを利用する。
攻撃者はCloudflareの一時的なトンネルを使用して正当なインフラストラクチャからペイロードを配信し、Telegramとパブリックファイルシェアリングサービスを通じてデータを流出させている。
標的は多業界にわたり、サイバーセキュリティ専門家、ゲーム開発者、暗号通貨関連ツールユーザー、DevOpsチームを含む。
From: 
Water Curse Employs 76 GitHub Accounts to Deliver Multi-Stage Malware Campaign
【編集部解説】
Water Curseの攻撃手法は、従来のマルウェア配信とは根本的に異なる特徴を持っています。攻撃者は開発者コミュニティが日常的に利用するGitHubという信頼されたプラットフォームを悪用し、一見無害なペネトレーションテストツールやセキュリティユーティリティに偽装したマルウェアを配布しています。
この手法の巧妙さは、Visual StudioプロジェクトのPreBuildEventタグ内に悪意のあるバッチファイルコードを埋め込む点にあります。開発者がプロジェクトをコンパイルする際に自動的に実行される仕組みを利用することで、被害者が意図せずマルウェアを実行してしまう構造を構築しています。
高度な回避技術と多段階攻撃による持続性の確立
Water Curseの攻撃は単純なマルウェア感染に留まらず、複数の段階を経て被害システムに深く侵入します。初期段階では難読化されたVBScriptとPowerShellスクリプトが実行され、暗号化されたアーカイブファイルをダウンロードして展開します。
特に注目すべきは、Cloudflareの一時的なトンネルを利用した回避技術です[6][7]。攻撃者はこの技術により、正当なインフラストラクチャからペイロードを配信し、従来の境界防御をバイパスしています。これらのトンネルは一時的で未登録のサブドメインを提供するため、事前ブロックやブラックリスト化が困難になっています。
また、「BitLocker Encrypt All Drives」という名前のスケジュールタスクを作成し、9999時間59分という実質的に無制限の実行時間を設定することで、システム再起動後も継続的に動作する仕組みを構築しています。
多業界を標的とした戦略的攻撃の展開
この攻撃が特に深刻なのは、単一の業界に限定されない多業界標的戦略を採用している点です。主要な標的にはサイバーセキュリティ専門家、ペネトレーションテスター、DevOpsチームが含まれますが、ゲーム開発者、暗号通貨関連ツールユーザー、一般開発者まで幅広く標的としています。
セキュリティ専門家が感染すると、企業のセキュリティインフラ全体が危険にさらされる可能性があります。この多業界にわたる戦略は、攻撃の検出を困難にし、より多くの収益機会を創出する狙いがあると考えられます。
複合的な脅威環境の形成
Water Curseキャンペーンと並行して、ClickFix戦略を使用したAsyncRAT、DeerStealer、Filch Stealer、LightPerlGirl、SectopRATなどの配信も観測されており、複合的な脅威環境を形成しています。
さらに、関連する攻撃キャンペーンでは、スペイン、ポルトガル、イタリア、フランス、ベルギー、オランダのヨーロッパ6カ国の組織が請求書をテーマにしたフィッシング攻撃の標的となっており、地理的にも広範囲にわたる攻撃が展開されています。
オープンソースセキュリティの根本的課題
Water Curseの出現は、オープンソースソフトウェアエコシステム全体に対する信頼性の問題を提起しています。開発者コミュニティは長年にわたってGitHubのようなプラットフォームを信頼し、コードの共有と協力を行ってきました。
しかし、この攻撃により、オープンソースプロジェクトの検証プロセスの重要性が改めて浮き彫りになりました。企業や開発者は、サードパーティのコードを利用する前により厳格な検証手順を導入する必要性に迫られています。
技術革新の両面性と今後の対策
この事案は、技術革新が持つ両面性を如実に示しています。GitHubのようなプラットフォームは開発効率を大幅に向上させる一方で、悪意のある攻撃者にとっても強力な武器となり得ることが明らかになりました。
今後の対策として、マネージド検知・対応(MDR)サービスの重要性が高まっています[5]。従来のセキュリティツールでは検出が困難な高度な攻撃に対して、専門家による継続的な監視と分析が不可欠となっています。
規制と業界標準への長期的影響
Water Curseのような攻撃の増加により、ソフトウェアサプライチェーンセキュリティに関する規制強化が予想されます。企業は使用するオープンソースコンポーネントの来歴と安全性をより厳格に管理することが求められるようになるでしょう。
また、開発者教育の重要性も増しています。セキュリティ意識の向上と、疑わしいビルドスクリプトや異常な動作を識別するスキルの習得が、今後の開発者にとって必須の要素となります。
【用語解説】
Water Curse
2025年5月に初めて発見された脅威アクター(攻撃者グループ)で、最大76のGitHubアカウントを悪用して多段階マルウェアを配信する。金銭的動機を持ち、認証情報の窃取やセッションハイジャック、不正アクセスの転売を目的としている。
Sakura-RAT
リモートアクセストロイの木馬(RAT)の一種で、隠れたブラウザアクセス、HVNC(隠れた仮想ネットワークコンピューティング)機能、ファイルレス実行などの高度な機能を持つ。アンチウイルスやEDRツールを回避する能力を持つ。
SMTP Email Bomber
SMTPプロトコルを使用して大量のメールを送信するツールで、本来はテスト目的で開発されるが、悪意のある用途にも使用される。Water Curseキャンペーンでは偽装ツールとして利用されている。
Visual Basic Script(VBS)
Microsoftが開発したスクリプト言語で、Windowsシステムで自動化タスクを実行するために使用される。Water Curseの攻撃では難読化されたVBSスクリプトがマルウェアの初期段階で使用されている。
PowerShell
Microsoftが開発したコマンドラインシェルおよびスクリプト言語で、システム管理や自動化に使用される。攻撃者はPowerShellスクリプトを使用してホストの防御を弱体化させ、システム復旧を阻害する。
PreBuildEvent
Visual Studioプロジェクトでコンパイル前に自動実行されるイベントで、ビルドプロセスの一部として使用される。攻撃者はこのタグ内に悪意のあるバッチファイルコードを埋め込んでいる。
Cloudflareトンネル
Cloudflareが提供する一時的なトンネルサービスで、正当なインフラストラクチャからペイロードを配信するために悪用される。一時的で未登録のサブドメインを提供するため、従来の防御手法での検出が困難である。
AsyncRAT
2024年初頭から複数のセクターにまたがる数千の組織を標的とするリモートアクセストロイの木馬。容易に入手可能なRATの一つで、未確認の脅威アクターによって使用されている。
Sorillus RAT(Ratty RAT)
2019年に初めて表面化したJavaベースのクロスプラットフォームマルウェアで、機密情報の収集、ファイル操作、スクリーンショット撮影、音声録音などの機能を持つ。多数のクラック版がオンラインで入手可能である。
ClickFix戦略
複数のキャンペーンで観測されている攻撃手法で、様々なマルウェアファミリーを展開するために使用される。AsyncRAT、DeerStealer、Filch Stealer、LightPerlGirl、SectopRATなどの配信に利用されている。
SambaSpy
Sorillus マルウェアファミリーに属するマルウェアで、イタリアのユーザーを標的とした攻撃で使用されている。ブラジルポルトガル語を話す脅威アクターによる攻撃と関連付けられている。
【参考リンク】
Trend Micro株式会社(外部)
世界的なサイバーセキュリティ企業で、法人向けセキュリティ製品・ソリューションを提供。今回のWater Curse脅威を発見・分析した。
GitHub(外部)
世界最大のソースコード管理・共有プラットフォームで、9,400万人以上のユーザーが利用。Water Curseによって悪用されたプラットフォーム。
Cloudflare(外部)
CDNおよびクラウドセキュリティサービスを提供する企業。同社の一時的なトンネルサービスがWater Curseによって悪用されている。
【参考動画】
【参考記事】
Clone, Compile, Compromise: Water Curse’s Open-Source Malware Trap on GitHub(外部)
Trend Micro公式の詳細な技術分析レポート。Water Curseの攻撃手法、使用されるマルウェア、検出・防御方法について専門的な視点から解説。
Water Curse: GitHub Supply Chain Attack Spreads Malware via Fake Tools, Targets Devs & Gamers(外部)
Water Curseによるサプライチェーン攻撃の詳細分析。開発者やゲーマーを標的とした攻撃手法と、偽装ツールを使用したマルウェア配信について解説。
新たな脅威グループ「Water Curse」、有害GitHubリポジトリ経由で情報セキュリティ専門家らを標的に(外部)日本語でのWater Curse脅威分析。セキュリティ専門家を標的とした攻撃の詳細と、GitHubリポジトリを悪用したサプライチェーン攻撃について報告。
【編集部後記】
皆さんは普段、GitHubからダウンロードしたツールやライブラリをどのように検証されていますか?
今回のWater Curse事案を見ていると、私たち開発者が当たり前のように信頼しているオープンソースエコシステムの脆弱性が浮き彫りになりました。特に気になるのは、セキュリティ専門家やDevOpsエンジニアまでが標的になっている点です。
皆さんの開発環境では、サードパーティのコードを導入する際にどのような安全確認を行っていますか?また、PreBuildEventのような自動実行される部分についてはどの程度意識されているでしょうか?この機会に、私たちと一緒に開発者コミュニティの安全性について考えてみませんか?
サイバーセキュリティニュースをinnovaTopiaでもっと読む
