概要:高度な脅威グループWARP PANDAの活動
2025年を通じて、CrowdStrikeは米国を拠点とする組織のVMware vCenter環境を標的とした複数の侵入を確認しました。これらの攻撃では、中国と関連するとされる高度な脅威グループWARP PANDAが、BRICKSTORMマルウェアを含む複数の悪性ツールを展開しています。WARP PANDAは、高度な技術力、優れた運用セキュリティスキル、クラウドおよび仮想マシン環境に関する広範な知識を持つことが特徴です。
BRICKSTORMに加え、WARP PANDAはJSP Webシェル、そしてESXi環境向けのJunctionとゲストVM向けのGuestConduitという2つの新しいインプラントを使用しています。彼らは、侵害されたネットワークへの持続的で長期的な隠密アクセス維持に注力しており、その活動は中国の戦略的利益を支援する情報収集要件と一致しています。
WARP PANDAの侵入手法と戦略
WARP PANDAは、2025年夏には米国の法律、テクノロジー、製造業のVMware vCenter環境を標的としました。中には2023年後半からの初期アクセスを維持していたケースもあり、侵害されたネットワークへの永続的なアクセスを確保しています。
初期アクセスと水平移動
彼らはインターネットに接続されたエッジデバイスの脆弱性を悪用して初期アクセスを確立し、その後、有効な認証情報やvCenterの脆弱性を利用してvCenter環境に侵入します。水平移動にはSSHや特権vCenter管理アカウントvpxuserが用いられ、データ移動のためにSecure File Transfer Protocol (SFTP)を使用することもあります。
ステルス技術とデータ窃取
WARP PANDAは、ログ消去、ファイルタイムスタンプ偽装、vCenterサーバーに未登録の悪性VMの作成とその後のシャットダウンといったステルス技術を駆使します。BRICKSTORMは、正規のネットワークトラフィックに紛れるため、vCenterサーバー、ESXiホスト、ゲストVMを介してトラフィックをトンネルします。
データ窃取においては、彼らはESXi互換の7-Zipを使用して、ライブESXiゲストVMのシンプロビジョニングスナップショットからデータを抽出しステージングします。また、vCenterサーバーへのアクセスを利用してドメインコントローラーVMをクローンし、Active Directory Domain Servicesデータベースなどの機密データを収集している証拠も発見されています。さらに、中国政府の利益に合致するテーマに取り組む従業員のメールアカウントへのアクセスも確認されています。
主要マルウェアの分析
WARP PANDAが使用する主なマルウェアには以下のものがあります。
- BRICKSTORM:Go言語ベースのバックドアで、正規のvCenterプロセス(例:updatemgr、vami-http)になりすますことが多いです。ファイルシステム閲覧やファイルのアップロード/ダウンロード機能に加え、TLSを介してコマンド&コントロール(C2)インフラとWebSocketで通信します。DNS-over-HTTPSによるC2ドメイン解決、複数のネストされたTLSチャネル、Cloudflare WorkersやHerokuなどのパブリッククラウドサービスの活用により、C2通信を難読化しネットワーク監視を回避します。
- Junction:VMware ESXiサーバー向けのGo言語ベースのインプラントで、正規のESXiサービス(例:vvold)になりすまし、ポート8090でリッスンします。
- GuestConduit:VMwareゲストVM向けのGo言語ベースのインプラントです。
悪用された脆弱性
WARP PANDAは、エッジデバイスやVMware vCenter環境で複数の脆弱性を悪用しています。主なものには以下の脆弱性が含まれます。
- CVE-2024-21887およびCVE-2023-46805:Ivanti Connect Secure VPNアプライアンスおよびIvanti Policy Secureゲートウェイに影響する認証バイパスの脆弱性で、任意のコマンド実行を可能にします。
- CVE-2024-38812:DCERPCプロトコルの実装におけるvCenterのヒープオーバーフロー脆弱性。
- CVE-2023-46747:F5 BIG-IPデバイスに影響する認証バイパス脆弱性。
- CVE-2023-34048:DCERPCプロトコルの実装におけるvCenterの境界外書き込み脆弱性で、リモートコード実行につながる可能性があります。
- CVE-2021-22005:vCenterサーバーに影響する重大度の高い脆弱性。
Microsoft Azure環境への侵入
2025年夏後半には、WARP PANDAは複数の組織のMicrosoft Azure環境へのアクセスを悪用し、主にOneDrive、SharePoint、Exchangeに保存されているMicrosoft 365データを標的にしました。あるケースでは、ブラウザファイルを窃取してユーザーセッショントークンを取得し、BRICKSTORMインプラントを介してトラフィックをトンネルすることで、セッションリプレイによりMicrosoft 365サービスにアクセスしました。
彼らはネットワークエンジニアリングおよびインシデント対応チームに関連する機密性の高いSharePointファイルにアクセスし、ダウンロードしました。また、初期ログイン後に認証アプリコードを介して新しい多要素認証デバイスを登録することで、永続化を確立した事例も確認されています。別の侵入では、Microsoft Graph APIを使用してサービスプリンシパル、アプリケーション、ユーザー、ディレクトリロール、およびメールを列挙しています。
結論:進化するWARP PANDAの脅威
少なくとも2022年から活動しているWARP PANDAは、クラウド環境を意識した標的型攻撃グループであり、高度な技術スキルと特徴的なマルウェア展開を示しています。彼らの継続的な活動と技術の進化は、組織にとって大きな脅威であり、VMware vCenterやクラウド環境のセキュリティ対策の強化が喫緊の課題であることを浮き彫りにしています。