CISAが「Brickstorm」マルウェアに関する継続的な脅威活動を警告
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、中国関連の脅威グループが使用する「Brickstorm」マルウェアに関連する継続的な脅威活動について、新たな分析結果を発表しました。
このマルウェアは数ヶ月にわたるキャンペーンで、複数の米国組織を標的にしており、CISAはマルウェアが永続性を維持し、防御を回避する能力があることを示す追加的な証拠を提供しています。
マルウェア「Brickstorm」の技術的詳細
CISAの分析には、最近入手されたBrickstormサンプルの侵害指標(IoC)と検出シグネチャが含まれています。特筆すべきは、一部のサンプルがRustプログラミング言語をベースにしている点です。
CISAは、このマルウェアが検出を回避するためにバックグラウンドで実行される能力を持つと警告しており、暗号化されたWebSocket接続を利用した高度なコマンド&コントロール(C2)機能を有していることも判明しています。
CISAの対応と国際協力
CISAは、継続する活動の広範な範囲と複雑性に対応するため、政府機関、業界、国際パートナーと協力し続けています。新たな洞察、技術分析、詳細情報を広範なサイバーセキュリティコミュニティに提供し、この活動によるリスクの軽減に努めています。
今回の更新ガイダンスは、国家安全保障局(NSA)およびカナダサイバーセキュリティセンターとの協力のもとで作成されました。
「Warp Panda」によるVMware vCenter環境への攻撃
今月初め、CrowdStrikeの研究者は、中国に関連する脅威アクター「Warp Panda」が、Brickstormマルウェアを複数のVMware vCenter環境に展開していると警告しました。攻撃対象には、法律、製造、テクノロジー企業が含まれます。
Warp Pandaは、vCenter環境を標的とする前に、インターネットに面したエッジデバイスを悪用して初期アクセスを獲得しています。この脅威アクターは、侵害されたネットワーク内で長期的な永続性を維持する能力を持っており、一例では2023年に初期アクセスが行われていたケースも報告されています。
CrowdStrikeのカウンターアドバイザリーオペレーション責任者であるAdam Meyers氏は、「防御側にとっての課題は、Warp PandaがID、仮想化、クラウド間の隙間を悪用することにある」と指摘しています。
推奨される防御策
Broadcomは以前、顧客に対し、最新のパッチを適用し、vSphere環境を保護するためのガイダンスに従うよう強く促しています。