中国による長期的なサイバースパイ活動がVMwareアプライアンスを標的に

Sygniaの研究者によると、中国による長期的なサイバースパイ活動が、標的ネットワークへのアクセスを得るためにVMwareアプライアンスを狙っています。

このキャンペーンは2025年初頭から追跡されています。攻撃者は「Fire Ant」と名付けられ、巧妙かつステルス性の高い複数の手法を組み合わせ、多層的な攻撃キルチェーンを構築して、制限された分割ネットワーク資産へのアクセスを可能にしていることが観察されています。

この脅威アクターは、仮想化およびネットワークインフラ、特にVMwareインフラを一貫して標的にしていることが示されています。

これらのシステムは、被害者ネットワークへの初期アクセス、ラテラルムーブメント（横方向移動）、および長期的な持続性のための足掛かりとして利用されています。

「Fire Antの活動はインフラ中心のTTPs（戦術・技術・手順）によって特徴づけられており、従来のエンドポイント制御の検知閾値を下回る活動を可能にし、従来型セキュリティスタックの重大な死角を浮き彫りにしています」とSygniaの研究者は2024年7月24日付のブログで述べています。

Fire Antキャンペーンの複数の側面、例えば独自のツールセットやVMware仮想化インフラを標的とする点は、MandiantがUNC3886として追跡している中国国家支援型スパイグループの手法と強く一致しています。

「インシデント全体を通じて脅威グループの活動時間帯や、コマンド実行時に観察された小さな入力ミスは、中国語キーボードレイアウトと一致しており、過去の地域的活動指標とも整合しています」とSygniaは付け加えています。

仮想化インフラへのアクセス獲得

このキャンペーンの一環として、Fire AntはCVE-2023-34048というアウトオブバウンズ書き込み脆弱性を悪用し、VMwareのvCenter上で認証なしのリモートコード実行を実現し、仮想化レイヤーの制御を獲得しました。

この基盤から、攻撃者は持続性とラテラルムーブメントを達成するためにさまざまな手法を実行しました。

攻撃者はVMware ESXiホストおよびvCenter上に複数のバックドアを展開し、再起動後もアクセスを維持しました。

ハイパーバイザーの制御を得たことで、攻撃者はゲスト仮想マシンと直接やり取りできるようになりました。これには、ゲスト内の認証情報なしでPowerCLI経由でコマンドを実行したり、セキュリティツールを改ざんしたり、メモリスナップショットから認証情報を抽出したりする行為が含まれます。

「このアプローチにより、ハイパーバイザーからゲストOSまで持続的かつ秘匿的なフルスタックの侵害が可能となりました」と研究者は述べています。

攻撃者は次に、標的ネットワーク内の内部・分離資産の探索に着手しました。これには、セグメンテーション境界を回避し、セグメントをまたいだ持続性を確立するための高度な手法が用いられました。

これには、CVE-2022-1388を悪用してF5ロードバランサーを侵害することも含まれていました。これは、iControlREST APIの重大な脆弱性で、認証なしでコマンド実行が可能です。

これにより、攻撃者はウェブシェルを展開できるようになり、ネットワーク間の橋渡しを可能にするトンネリングウェブシェルも含まれていました。

また、信頼されたエンドポイントを経由してトラフィックをルーティングするコマンドも使用し、ファイアウォールルールやセグメンテーション制御を回避してネットワーク制限資産に到達できるようにしました。

Fire Antが観察されたもう一つの手法は、ネットワーク防御者による駆除活動を回避することでした。

「防御者がシステムをクリーンアップし、ツールや持続性を除去しても、脅威アクターは再度資産を侵害しました。再侵害後、脅威アクターは展開するツールセットをローテーションし、実行方法を変更し、バイナリ名を変更して検知を回避しました」と研究者は指摘しています。

Sygniaのレポートは、ネットワーク防御者が監視すべきFire Ant活動の主なインジケーターを示しています。これには以下が含まれます：