はじめに
ランサムウェアのオペレーターたちが、正当な仮想インフラ管理プロバイダーであるISPsystemが提供する仮想マシン(VM)を悪用し、悪意のあるペイロードを大規模にホスト・配信していることが明らかになりました。サイバーセキュリティ企業Sophosの研究者らは、最近発生した「WantToCry」ランサムウェアのインシデントを調査する中で、この手口を発見しました。
ISPsystem製VM悪用の実態
Sophosの調査によると、攻撃者たちはISPsystemのVMmanagerによって生成されたデフォルトテンプレートに起因するとみられる、同一のホスト名を持つWindows VMを使用していたとのことです。さらに詳しく調べると、この同じホスト名が、
LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnifといった複数のランサムウェアオペレーターのインフラ、さらにはRedLineやLummarといったインフォスティーラーを伴う様々なマルウェアキャンペーンにも存在することが判明しました。
VMmanagerの設計上の弱点と悪用
ISPsystemは、ホスティングプロバイダー向けのコントロールパネルを開発する正当なソフトウェア企業であり、VMmanagerは仮想サーバーやOSの管理に使用される仮想化管理プラットフォームです。Sophosは、VMmanagerのデフォルトWindowsテンプレートが、展開されるたびに同じホスト名とシステム識別子を再利用するという設計上の特性を持つことを発見しました。
サイバー犯罪活動を認識しながらも黙認し、テイクダウン要求を無視する「防弾ホスティングプロバイダー」は、この設計上の弱点を利用しています。彼らは悪意のあるアクターがVMmanagerを介してVMを立ち上げることを許可し、これらがコマンド&コントロール(C2)およびペイロード配信インフラとして使用されるのです。これにより、悪意のあるシステムが数千もの無害なシステムの中に隠蔽され、帰属の特定が困難になり、迅速なテイクダウンが妨げられています。
悪意のあるVMのほとんどは、評判の悪い、あるいは制裁対象となっている少数のプロバイダーによってホストされていました。これには以下が含まれます。
- Stark Industries Solutions Ltd.
- Zomro B.V.
- First Server Limited
- Partner Hosting LTD
- JSC IOT
また、物理インフラを直接管理し、回避のためにVMmanagerを使用しているMasterRDPというプロバイダーも発見されており、法的な要求に応じないVPSおよびRDPサービスを提供しています。
悪用された主要ホスト名
Sophosによると、最も普及しているISPsystemのホスト名4つが、インターネットに接続されたISPsystem仮想マシン全体の95%以上を占めています。
- WIN-LIVFRVQFMKO
- WIN-344VU98D3RU
- WIN-J9D866ESIJ2
これらのホスト名はすべて、顧客の検出データやサイバー犯罪活動に関連するテレメトリーデータで確認されています。
研究者らは、ISPsystem VMmanagerが仮想化管理のための正当なプラットフォームである一方で、「低コスト、参入障壁の低さ、ターンキーデプロイ機能」がサイバー犯罪者にとって魅力的であると指摘しています。
ISPsystemによる対応
BleepingComputerがISPsystemにVMテンプレートの大規模な悪用について問い合わせたところ、ISPsystemの広報担当者から以下の声明が寄せられました。
「Sophos CTUの調査に感謝いたします。VMmanagerの開発者として、当社のプラットフォームがビジネスにとって効果的であるのと同じ品質、すなわちシンプルさと展開速度が悪用される可能性があることを理解しております。私たちはすでにWindowsテンプレートのアップデートをリリースしました。これにより、新しい仮想マシンが展開されるたびに、その名前はランダムに生成されます。これにより、技術的な識別子の重複の可能性がなくなり、レポートで強調された特定のリスクに対処できます。私たちはセキュリティに対する専門家の貢献を評価し、安全な環境を共に構築するために協力する準備ができています。」
この声明は、ISPsystemがホスト名の割り当てにおけるランダム化を追加したことを確認するものです。これにより、悪用されていた設計上の脆弱性が解消されることが期待されます。