サイバーニュース.jp

世界のサイバーなニュースを配信

サイバー犯罪者がVMware ESXiのゼロデイ脆弱性を悪用、新たなツールセットを使用

カテゴリ:

概要

Huntressのセキュリティ研究者たちは、サイバー犯罪者がゼロデイツールキット「MAESTRO」を用いてVMware ESXiの脆弱性を悪用する高度なキャンペーンを発見しました。このツールキットは、VMwareが公開する1年以上前の2024年2月に開発が開始され、長期間にわたり検出されずに活動していました。

2025年12月に発生したこの侵入は、侵害されたSonicWall VPNを介して始まり、脅威アクターが複数の重要な脆弱性を連鎖的に悪用することで、ハイパーバイザーを完全に侵害する手口が明らかになりました。

攻撃チェーンの詳細

Huntressのタクティカルレスポンスチームは、脅威アクターが盗まれたDomain Adminの認証情報を使用して侵害されたSonicWall VPNから初期アクセスを獲得したことを確認しました。ネットワーク内部に侵入後、攻撃者はRDPを介してバックアップおよびプライマリドメインコントローラーに横展開し、Advanced Port ScannerやSoftPerfect Network Scannerといった偵察ツールを展開しました。さらに、ShareFinderを使用してネットワーク共有を列挙した後、VMware ESXiエクスプロイトツールキットをデプロイしました。ツールキットの展開後、攻撃者はWindowsファイアウォール規則を変更し、侵害されたホストを外部ネットワークから隔離しつつ、内部ネットワークでの横展開を可能にしました。

悪用された脆弱性

Huntressの研究者たちは、このツールキットが2025年3月にVMwareセキュリティアドバイザリVMSA-2025-0004で開示された以下の3つのVMware脆弱性を悪用していると「中程度の確信」をもって評価しています。

  • CVE-2025-22226 (CVSS 7.1, High): HGFSの境界外読み取りを悪用してVMXプロセスのメモリを漏洩させます。
  • CVE-2025-22224 (CVSS 9.3, Critical): VMCIのTime-of-Check Time-of-Use (TOCTOU) 脆弱性を悪用し、境界外書き込みを通じてVMXプロセスとしてコード実行を可能にします。
  • CVE-2025-22225 (CVSS 8.2, Critical): ESXiにおける任意書き込み機能を提供し、攻撃者がVMXサンドボックスからカーネルレベルへエスケープすることを可能にします。

MAESTROツールキットの機能

「MAESTRO」と名付けられたエクスプロイトツールキットは、以下の攻撃シーケンスをオーケストレーションします。

  • VMware VMCIドライバーを無効化します。
  • Kernel Driver Utility (KDU) を使用して、ドライバー署名強制をバイパスし、署名されていないエクスプロイトドライバーをカーネルメモリにロードします。
  • VSOCKpuppetというバックドアを展開します。これはVMwareのVirtual Sockets (VSOCK) インターフェースを介して通信するため、従来のネットワーク監視ツールからは悪意のあるトラフィックが検出されにくくなっています。

攻撃者の背景とツールの開発

ツールキットのPDBパスの分析により、簡体字中国語の文字列(「全版本逃逸–交付」(翻訳:「全バージョンエスケープ – デリバリー」))が発見されました。タイムスタンプは、VMwareの公開の1年以上前である2024年2月の開発を示しています。このツールキットは、バージョン5.1から8.0までの155のESXiビルドをサポートしており、中国語圏で活動する潤沢なリソースを持つ開発者が関与している可能性が高いことを示唆しています。

対策とIoC

組織は直ちにESXiホストにパッチを適用する必要があります。サポート終了バージョンのESXiは修正パッチが提供されないため、依然として脆弱な状態にあります。

防御側は、ESXiホストを監視し、「lsof -a」コマンドで異常なVSOCKプロセスを特定すること、およびKDUによる脆弱な署名付きドライバーのロードなど、BYOD(Bring Your Own Driver)手法に注意することが求められます。

主な侵害指標(IOCs)は以下の通りです。

  • MAESTROペイロード (exploit.exe): 37972a232ac6d8c402ac4531430967c1fd458b74a52d6d1990688d88956791a7
  • GetShellプラグイン (client.exe): 4614346fc1ff74f057d189db45aa7dc25d6e7f3d9b68c287a409a53c86dca25e
  • VSOCKpuppet: c3f8da7599468c11782c2332497b9e5013d98a1030034243dfed0cf072469c89
  • Binary.zip: dc5b8f7c6a8a6764de3309279e3b6412c23e6af1d7a8631c65b80027444d62bb
  • MyDriver.sys: 2bc5d02774ac1778be22cace51f9e35fe7b53378f8d70143bf646b68d2c0f94c

元記事: https://gbhackers.com/cybercriminals-exploit-vmware-esxi-vulnerabilities/

投稿をさらに読み込む