コンテンツにスキップするには Enter キーを押してください

Scattered SpiderがVMware vSphere環境を標的に

投稿日 2025年7月28日

金銭目的のハッキンググループ「Scattered Spider」がVMware vSphere環境を標的にし、ハイパーバイザーを完全に制御しているとGoogleの脅威インテリジェンスグループ(GTIG)が警告しています。

2022年初頭から活動しており、Muddled Libra、Scatter Swine、Starfraud、UNC3944としても知られるこのハッキンググループは、MGMリゾーツへのBlackCat(Alphv)ランサムウェア感染や、130以上の組織を攻撃した0ktapusキャンペーンなど、複数の大規模な攻撃の原因とされています。

Scattered Spiderは、DragonForceランサムウェアを使用した英国小売業者Marks & Spencer(M&S)、Co-op、Harrodsへの攻撃の責任もあり、その後米国小売業者、さらに米国保険業界へと標的を移しました。

グループの複数のメンバーが起訴逮捕され、リーダーと疑われる人物も含まれていますが、Scattered Spiderは依然として非常に活発であり、検知を回避し成功を維持するために戦術を変えています。

GTIGの新たなレポートは、グループのvSphere中心の攻撃に焦点を当てており、ハッカーがActive DirectoryからvSphereへと軸足を移し、ESXiハイパーバイザーやvCenter Server Appliance(VCSA)への可視性が限定的または皆無なセキュリティツールを回避して、ハイパーバイザーから直接データを窃取しランサムウェアを展開する方法を示しています。

Googleによると、脅威アクターは初期アクセスからハイパーバイザーの完全制御まで、以下の5つのフェーズで組織的に進行します:初期アクセス、偵察および権限昇格、vCenterコントロールパネルの侵害、ハイパーバイザーの乗っ取り、バックアップの破壊、ランサムウェアの実行です。

Scattered Spiderのメンバーは組織の従業員になりすまし、ITヘルプデスクに電話してソーシャルエンジニアリングを用いて従業員のActive Directoryパスワードをリセットさせます。このアクセスを利用して管理者や脆弱なアクセス制御を特定する情報を収集し、再度ヘルプデスクに電話して管理者アカウントのパスワードもリセットさせます。

収集したActive DirectoryからvSphereへの認証情報を使い、攻撃者はVCSAへの仮想的な物理アクセスを獲得し、rootパスワードを変更、SSHアクセスを有効化し、オープンソースのリモートアクセスツール「Teleport」を展開して永続的かつ暗号化されたリバースシェルを作成します。

広告。スクロールして続きをお読みください。

ESXiホストでSSHが有効化され、rootパスワードがリセットされると、攻撃者はドメインコントローラーVMを標的にし、電源を切って仮想ディスクを切り離し、自分たちが制御するVMにそのディスクを接続してActive Directoryデータベースを抽出し、再び元に戻します。

次に、攻撃者はActive Directoryへのアクセスを使ってバックアップジョブ、スナップショット、リポジトリを削除し、復旧を妨害します。その後、ESXiホストへのSSHアクセスを利用してランサムウェアを展開します。マルウェアを実行してVMファイルを暗号化する前に、ホスト上のすべてのVMの電源を切ります。

これらの攻撃を緩和するため、組織はvCenterのロールと権限でホストを管理し、vSphereロックダウンモードを有効化し、execInstalledOnlyを強制してランサムウェアの実行を防ぎ、Tier 0の仮想資産を暗号化し、厳格なインフラ衛生を実施し、継続的なvSphereポスチャーマネジメント(CPM)を導入し、MFA登録やパスワードリセット時には対面による多要素認証プロセスを実施することが推奨されます。

フィッシング耐性のあるMFAの強制、重要なIDインフラの分離、認証ループの回避、ADと並行した代替IdP(アイデンティティプロバイダー)の追加、制御の強化、ログの監視、アラートの優先対応、バックアップを本番ADから分離することも、侵害防止に役立ちます。

「UNC3944の手法には、防御戦略の根本的な転換が必要です。EDRベースの脅威ハンティングから、より積極的でインフラ中心の防御へと移行する必要があります。従来の攻撃者は偵察に数日から数週間かけることもありますが、UNC3944は極めて迅速に行動し、初期アクセスからデータ流出、最終的なランサムウェア展開まで、わずか数時間で完了する可能性があります」とGoogleは指摘しています。

関連記事: ハワイアン航空がハッキング被害、航空業界にScattered Spider攻撃の警告

関連記事: Scattered Spiderの容疑者が有罪を認める

関連記事: 最近起訴されたScattered Spider容疑者、証拠隠滅が不十分

関連記事: クロロックス、2023年のハッキング被害でコグニザントを3億8千万ドルで提訴

翻訳元: https://www.securityweek.com/scattered-spider-targeting-vmware-vsphere-environments/

Published in securityweek.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です