サイバー犯罪グループMuddled LibraによるVMware vSphere攻撃
サイバー犯罪グループのMuddled Libra(別名Scattered Spider、UNC3944)が関与する攻撃において、不審な仮想マシン(Rogue VM)が発見されました。このVMは攻撃者の侵入点となり、彼らの作戦手順を詳細に示しています。
攻撃の概要
Muddled Libraは、組織への初期アクセスを得るために積極的な社会工学的手法を使用します。具体的にはSMSフィッシング(smishing)や音声フィッシング(vishing)を用いて、組織とその外注コールセンター、BPOsおよびMSPsに侵入します。
攻撃の詳細
2025年9月のインシデントレスポンス中に、アナリストたちは被害者のVMware vSphere環境内に不審な仮想マシンが存在することを発見しました。
- 攻撃者は約2時間後にvSphereポータルにログインし、「New Virtual Machine」と名付けられたVMを作成しました。
- このVMから、環境から盗まれた証明書を使用してチケットを偽造し、ネットワーク内で合法的なように動作しながら移動しました。
- 攻撃者はChiselツールを使用したSSHトンネルを確立し、TCPポート443経由で約15時間にわたるC2接続を維持しました。
さらに、Active Directoryのドメインコントローラーをシャットダウンして仮想ディスクをマウントし、NTDS.ditデータベースとSYSTEMレジストリハブをコピーしました。これにより、攻撃者は組織内のユーザー情報やパスワード情報を入手することができました。
攻撃手法の詳細
Muddled Libraは、組織のインフラストラクチャを利用して攻撃プラットフォームを作り出すことに長けています。具体的には:
- 攻撃者はADReconとADExplorer64を使用してドメイン情報やユーザー情報を抽出しました。
- 攻撃者はSnowflake環境から大量のデータセットを引き出し、ファイル共有プラットフォームにアップロードしようと試みました。
防御策
組織は、アイデンティティ中心のコントロールや厳格な管理者アクセス制御を強化し、Living Off the Land(LOTL)行動に対する検出機能を持つ層構造型ソリューションを使用することで、攻撃者からの脅威に対抗することができます。
結論
Muddled Libraの攻撃は、VMware vSphereやSnowflake環境を監視する重要性を示しています。これらのプラットフォームでの異常なVM作成やDCシャットダウン、大量のADまたはデータベースアクセスを注意深く観察することが必要です。