はじめに
米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)と国家安全保障局(NSA)は、カナダのサイバー当局と共同で、「BRICKSTORM」と名付けられた新たな高度なマルウェアキャンペーンに関する共同警告を発しました。この勧告によると、中華人民共和国(PRC)の国家支援を受けたハッカーが、このツールを積極的に利用して、政府およびテクノロジーの重要なネットワークに侵入し、潜伏しています。
BRICKSTORMマルウェアの概要
BRICKSTORMは危険な「バックドア」として説明されており、攻撃者が好きな時に被害者のシステムに戻るための秘密の鍵のような悪意あるソフトウェアです。このマルウェアは、広範囲で使用されている仮想サーバー実行ソフトウェアであるVMware vSphere、および標準的なWindows環境を標的とするように特別に設計されています。当局は、このキャンペーンの主な目的がスパイ活動であると述べています。VMware vCenterやESXiといった企業サーバーを管理する基盤ソフトウェアを標的にすることで、攻撃者はシステム内で「ゴースト」となることができ、活動を監視し、機密データを窃盗し、さらにはサーバー全体の「スナップショット」をコピーして、通常のセキュリティアラームをトリガーすることなくパスワードや暗号鍵を抽出することが可能です。
攻撃の手口
報告によると、これらの攻撃は極めて計算されています。確認されたあるケースでは、ハッカーは早ければ2024年4月には被害者のネットワークに侵入し、2025年9月まで検出されずに活動していました。彼らは脆弱なWebサーバーを通じて初期侵入を果たし、その後、盗んだパスワードを使用してネットワーク内を横移動しました。深く侵入した後、BRICKSTORMマルウェアが植え付けられました。
BRICKSTORMの検出を特に困難にしているのは、そのシステムに溶け込む能力です。マルウェアは複雑な暗号化技術を用いて通信を隠蔽し、そのコマンドを通常のWebトラフィックやセキュアなインターネット接続に偽装し、ネットワーク防御者には通常のビジネス活動のように見せかけます。また、「自己監視」機能を備えており、セキュリティプログラムが停止または削除を試みると、BRICKSTORMは自動的に再インストールおよび再起動し、攻撃者がその足場を失わないようにします。
標的と影響
当局は、このキャンペーンが「政府サービスおよび施設」と「情報技術」セクターを標的としていると警告しています。攻撃が成功した場合の影響は深刻である可能性があります。分析された攻撃では、ハッカーは重要なデジタル鍵を盗み、これにより正規のユーザーになりすまし、ネットワークの高度に制限された領域にアクセスすることが可能になりました。CISAとNSAは、特に重要インフラストの組織に対し、この特定の脅威の兆候がないかネットワークを直ちに検索するよう強く求めています。
推奨される対策
CISAとNSAは、セキュリティチームがマルウェアを特定するために使用できる技術的な「署名」(デジタルフィンガープリント)を公開しています。管理者には以下の対策が推奨されています。
- VMware製品を直ちにアップデートすること。
- 管理システムへのアクセスを厳しく制限すること。
- 異常なアカウント活動を監視すること。
この警告は「これは長期的な永続化ツールである」と締めくくり、攻撃者が既に仮想化インフラストラクチャの深部に潜り込んでいる場合、初期の感染を単に削除するだけでは不十分である可能性があると警告しています。
元記事: https://gbhackers.com/cisa-nsa-alert-on-brickstorm-malware/