2025年7月24日Ravie Lakshmanan仮想化 / ネットワークセキュリティ
仮想化およびネットワークインフラストラクチャが、Fire Antというコードネームの脅威アクターによる長期的なサイバースパイ活動の一環として標的にされています。
今年観測されたこの活動は、主に組織のVMware ESXiおよびvCenter環境、さらにネットワーク機器への侵入を目的としていると、Sygniaは本日発表した新しいレポートで述べています。
「この脅威アクターは、高度かつステルス性の高い手法を組み合わせ、多層的な攻撃キルチェーンを構築し、隔離されていると考えられていた環境内の制限されたネットワーク資産へのアクセスを可能にしました」とサイバーセキュリティ企業のSygniaは述べています。
「攻撃者は高い持続性と運用上の機動性を示し、排除活動を受けてもリアルタイムで適応し、インフラへのアクセスを維持し続けました。」
Fire Antは、2022年以降エッジデバイスや仮想化技術を執拗に標的としてきた中国系サイバースパイグループUNC3886による過去のキャンペーンと、ツールや標的が重複していると評価されています。
この脅威アクターによる攻撃は、VMware ESXiホストおよびvCenterサーバーの制御を確立し、ゲスト環境への横展開や、ネットワーク機器の侵害によるネットワーク分割の回避といった高度な能力を示しています。
さらに注目すべき点は、攻撃者が封じ込め対策に適応し、異なるツールへの切り替えや、持続性のためのバックドア設置、ネットワーク設定の変更による再侵入など、運用のレジリエンスを維持する能力です。
Fire Antによる仮想化管理レイヤーの侵害は、VMware vCenter Serverの既知の脆弱性CVE-2023-34048を悪用することで達成されました。この脆弱性は、2023年10月にBroadcomによって修正されるまで、UNC3886によってゼロデイとして長年悪用されてきました。
「vCenterから、攻撃者は ‘vpxuser’ サービスアカウントの認証情報を抽出し、それを使って接続されたESXiホストにアクセスしました」とSygniaは指摘しています。「彼らはESXiホストとvCenterの両方に複数の持続的なバックドアを展開し、再起動後もアクセスを維持しました。バックドアのファイル名、ハッシュ、展開手法はVIRTUALPITAマルウェアファミリーと一致しています。」
また、リモートコマンド実行やファイルのダウンロード・アップロード機能を持つPythonベースのインプラント(”autobackup.bin”)も設置されました。これはデーモンとしてバックグラウンドで動作します。
ハイパーバイザーへの不正アクセスを得た攻撃者は、VMware Toolsの別の脆弱性(CVE-2023-20867)を利用し、PowerCLI経由でゲスト仮想マシンに直接操作を行ったほか、セキュリティツールの機能妨害や、ドメインコントローラーを含むメモリスナップショットからの認証情報抽出も行いました。
この脅威アクターの重要な手口の一部は以下の通りです:
- ゲストネットワークのトンネリングを容易にするためV2Rayフレームワークを設置
- 複数のESXiホスト上に未登録の仮想マシンを直接展開
- ネットワーク分割の障壁を突破し、セグメント間の持続的な存在を確立
- 資産の再侵害や、場合によってはペイロード名をフォレンジックツールに偽装することで、インシデント対応や復旧活動に抵抗
この攻撃チェーンは最終的に、Fire AntがハイパーバイザーからゲストOSへの持続的かつ秘匿されたアクセス経路を確立する道を開きました。Sygniaはまた、攻撃者が標的環境のネットワークアーキテクチャやポリシーを「深く理解」しており、通常は隔離されている資産にも到達できたと述べています。
Fire Antは異常なほど検知回避に注力し、侵入の痕跡を最小限に抑えています。これは、攻撃者がESXiホスト上の「vmsyslogd」プロセスを終了させてログ記録を改ざんし、監査証跡を抑制してフォレンジックの可視性を制限したことからも明らかです。
これらの調査結果は、ネットワークエッジデバイスが脅威アクター、特に中国系によって近年継続的かつ成功裏に標的とされているという憂慮すべき傾向を浮き彫りにしています。
「このキャンペーンは、従来のエンドポイントセキュリティツールが効果を発揮しないハイパーバイザーおよびインフラ層での可視性と検知の重要性を強調しています」とSygniaは述べています。
「Fire Antは一貫してESXiホスト、vCenterサーバー、F5ロードバランサーなどのインフラシステムを標的としました。これらのシステムは標準的な検知・対応プログラムに統合されることがほとんどありません。これらの資産は検知・対応ソリューションが不足し、生成されるテレメトリも限られているため、ステルス運用の長期的な拠点として理想的です。」
翻訳元: https://thehackernews.com/2025/07/fire-ant-exploits-vmware-flaw-to.html