CISA、「継続中」のBrickstormバックドア攻撃について警告

出典: Frankie Angel via Alamy Stock Photo

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、中国の国家主体アクターによる「継続的な侵入」について警告した。これらのアクターは、組織のVMware vSphere環境において Brickstormバックドア を展開している。

木曜日に公開されたアラートの中で、CISAは中華人民共和国（PRC）に関連付けられた脅威アクターが、主に政府および情報技術セクターの組織を標的としていると述べた。攻撃者は「高度なバックドア」であるBrickstormを使用して、標的ネットワークへの長期的でステルス性の高いアクセスを維持しているという。詳細は CISAのアラートに記載されている。

同庁はまた、米国家安全保障局（NSA）およびカナダ・サイバーセキュリティセンターと共同でマルウェア分析レポートを発行した。Brickstormは、重大なIvantiのゼロデイ脆弱性を悪用した攻撃に関する調査に続き、昨年Google傘下のMandiantによって初めて文書化された。

当局が収集した8つのサンプルに基づくこのレポートは、バックドアの詳細だけでなく、PRC関連の脅威アクターの戦術についても、さらなる光を当てている。BrickstormはWindows環境にも展開可能だが、最近の攻撃はVMwareインスタンスのみに焦点を当てているようだ。

「サイバー攻撃者はVMware vSphereプラットフォームを標的にしていることが確認されている」とマルウェア分析レポートは述べている。「一度侵害されると、サイバー攻撃者はvCenter管理コンソールへのアクセスを利用して、認証情報抽出のためにクローン化された仮想マシン（VM）のスナップショットを盗み、隠れた不正なVMを作成することができる。」

Brickstormの多面的な能力

Go言語ベースのバックドアであるBrickstormは、マルウェア分析レポートによると、自身を監視する機能を備えており、妨害された場合に自動的に再インストールまたは再起動できる。脅威アクターのコマンド＆コントロール（C2）インフラとの秘匿通信のために、BrickstormはHTTPS、WebSocket、入れ子状のTLSなど、複数の暗号化レイヤーを備えている。

さらに各機関は、BrickstormがDNS-over-HTTPS（DoH）を使用してC2通信を正規トラフィックに紛れ込ませ、感染したネットワーク上で攻撃者にインタラクティブなシェルアクセスを提供していると指摘した。

レポートによると、CISAは最近の攻撃の1件でインシデント対応を支援した。その対応において、PRC関連の脅威アクターは2024年4月11日に、組織の非武装地帯（DMZ）内にあるWebサーバーを介して被害者のネットワークへのアクセスを最初に獲得したが、攻撃者がどのように初期アクセスを得たのかは不明である。

脅威アクターはサービスアカウントの認証情報を発見し、それを利用してリモートデスクトッププロトコル（RDP）経由でDMZ内のドメインコントローラーへ横移動した。そこから、2つ目のサービスアカウントの認証情報を取得し、内部ネットワークのドメインコントローラーへ移動して、Active Directory（AD）データベースにアクセスした。

「その後、彼らはADデータベースをコピーし、マネージドサービスプロバイダー（MSP）アカウントの認証情報を取得した」と各機関はレポートで述べている。「MSPの認証情報を使用して、サイバー攻撃者は内部ドメインコントローラーからVMware vCenterサーバーへと移動した。」

脅威アクターはまた、サーバーメッセージブロック（SMB）を使用してActive Directoryフェデレーションサービス（ADFS）サーバーへピボットし、サーバー上に保存されていた暗号鍵を抽出した。攻撃者は2025年9月2日まで、被害者ネットワークへのアクセスを維持していた。

Brickstormへの防御策

各機関は、最近の攻撃を特定のPRC支援の脅威グループに帰属させてはいない。しかしCrowdStrikeは木曜日、新たに特定した中国関連の脅威グループ「Warped Panda」についてのブログ記事を公開した。同社によれば、このグループは今年、Brickstormを使用した複数の侵入の背後にいるという。CrowdStrikeのブログによると、Warped Pandaのアクターは米国拠点の組織におけるVMware vCenter環境を標的にしていた。

Brickstorm攻撃の脅威を軽減するため、各機関は組織に対し、VMware vSphereサーバーを最新の状態に保ち、すべてのネットワークエッジデバイスのインベントリを作成し、それらのデバイスからの不審な活動を監視するよう促した。また、DMZから内部ネットワークへのすべてのRDPおよびSMBアクセスを無効にすること、サービスアカウントの権限を制限し監視を強化すること、許可されていないDoHプロバイダーおよび外部DoHトラフィックをブロックすることも推奨している。

さらにCrowdStrikeは、未承認のVM作成を監視し、VMware ESXiおよびvCenterインスタンスからのアウトバウンドインターネットアクセスを制限し、ESXiホストへのSSHアクセスを無効にすることを検討するなど、VMware環境に対するその他のハードニング手順を実施するよう組織に呼びかけている。