サイバーニュース.jp

世界のサイバーなニュースを配信

CISA、VMwareサーバーを標的とする中国の「BrickStorm」マルウェア攻撃に警告

カテゴリ:

CISAが「BrickStorm」マルウェアに関する警告を発令

米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、中国のハッカーがVMware vSphereサーバーに「BrickStorm」マルウェアを仕掛けてバックドアを設置していると警告を発しました。CISAは国家安全保障局 (NSA) およびカナダのサイバーセキュリティセンターとの共同マルウェア分析レポートで、被害組織のネットワークで発見された8つのBrickStormマルウェアサンプルを分析したことを明らかにしています。

BrickStormマルウェアの特性と攻撃手法

BrickStormマルウェアは、検出を回避し、さらに多くの認証情報を盗むために、VMware vSphereサーバーを標的にしています。攻撃者は特に以下の手法を用いています。

  • 隠蔽された不正な仮想マシンの作成:検出を回避するため、仮想環境内に隠れたVMを構築します。
  • クローンされた仮想マシンスナップショットの窃盗:仮想マシンのスナップショットを盗み出し、そこから認証情報を抽出します。
  • 多層的な暗号化:HTTPS、WebSocket、多重TLSなどの暗号化を駆使し、通信チャネルを秘匿します。
  • SOCKSプロキシによるトンネリング:侵害されたネットワーク内での水平移動を可能にするSOCKSプロキシを使用します。
  • DNS-over-HTTPS (DoH):さらなる隠蔽のため、DoHを利用して通信を隠します。

また、BrickStormには自己監視機能が組み込まれており、マルウェアが中断された場合は自動的に再インストールまたは再起動され、持続性を維持します。

被害状況と攻撃者の活動

CISAの調査によると、中国のハッカーは2024年4月に組織のDMZ(非武装地帯)にあるウェブサーバーを侵害し、そこから内部のVMware vCenterサーバーへ水平移動してマルウェアを展開しました。さらに、被害者のネットワーク上の2つのドメインコントローラーをハッキングし、Active Directory Federation Services (ADFS) サーバーを侵害した後に暗号化キーをエクスポートしています。攻撃者はこのBrickStormインプラントを使用して、少なくとも2024年4月から2025年9月まで侵害されたシステムへのアクセスを維持していました。また、システムアクセス後には、Active Directoryデータベース情報の取得やシステムバックアップの実行を行い、正当な認証情報やその他の機密データを盗んでいたことも確認されています。

検出と防御のための推奨事項

CISAは、攻撃者のネットワーク上での存在を検出し、潜在的な攻撃を阻止するために、以下の対策を推奨しています。

  • CISAが作成したYARAおよびSigmaルールによるスキャン:BrickStormバックドア活動を特定するためのシグネチャを使用します。
  • 不正なDNS-over-HTTPSプロバイダーと外部トラフィックのブロック:マルウェアの隠蔽通信を防ぎます。
  • すべてのネットワークエッジデバイスのインベントリ作成と監視:不審な活動を早期に発見します。
  • ネットワークセグメンテーション:DMZからの内部ネットワークへのトラフィックを制限し、被害拡大を防ぎます。

CISA、NSA、およびサイバーセンターは、このマルウェア分析レポート内のIOC(侵害指標)と検出シグネチャを使用して、BRICKSTORMマルウェアサンプルを特定するよう組織に強く促しています。

関連情報と他のセキュリティ企業の見解

サイバーセキュリティ企業CrowdStrikeも、2025年を通じて米国の法律、テクノロジー、製造企業を標的としたVMware vCenterサーバーへのBrickStormマルウェア攻撃を、「Warp Panda」として追跡している中国のハッキンググループに結びつけています。CrowdStrikeは、この脅威グループがVMware ESXi環境で、これまで知られていなかったJunctionおよびGuestConduitマルウェアインプラントを展開していることも観測しています。

この共同勧告は、Google Threat Intelligence Group (GTIG) が9月に発表したレポートに続くものです。GTIGのレポートでは、中国のハッカーが、Googleの子会社であるMandiantが2024年4月に初めて文書化したBrickStormマルウェアを使用して、テクノロジーおよび法律分野の複数の米国組織のネットワーク上で長期的な永続性を獲得したことが記述されていました。Googleのセキュリティ研究者は、これらの攻撃をUNC5221という悪意のある活動クラスターに関連付けています。このクラスターは、Ivantiのゼロデイ脆弱性を悪用し、SpawnantやZiplineマルウェアで政府機関を標的にしていることで知られています。

元記事: https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/

投稿をさらに読み込む