TokyoBlackHatNews

bleepingcomputer.com 4分で読了

CISA、中国による VMware サーバーへの「BrickStorm」マルウェア攻撃を警告

Image

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、中国系ハッカーが BrickStorm マルウェアを使って VMware vSphere サーバーにバックドアを仕掛けているとして、ネットワーク防御担当者に警告を発しました。

国家安全保障局(NSA)およびカナダ・サイバーセキュリティセンターと共同で作成したマルウェア分析レポートの中で、CISA は BrickStorm マルウェアのサンプル 8 件を分析したと述べています。

これらのサンプルは被害組織のネットワーク上で発見されたもので、攻撃者は VMware vSphere サーバーを標的に、検知を逃れるための隠れた不正仮想マシンを作成し、さらなる認証情報窃取のためにクローン化した仮想マシンのスナップショットを盗み出していました。

勧告で指摘されているように、BrickStorm は HTTPS、WebSocket、入れ子状の TLS など複数の暗号化レイヤーを用いて通信チャネルを保護し、侵害ネットワーク内でのトンネリングと横移動には SOCKS プロキシを使用し、さらに秘匿性を高めるために DNS-over-HTTPS(DoH)も利用します。永続性を維持するため、BrickStorm には自己監視機能も組み込まれており、マルウェアが中断された場合に自動的に再インストールまたは再起動します。

あるインシデントを調査する中で、CISA は中国系ハッカーが 2024 年 4 月にある組織の非武装地帯(DMZ)にある Web サーバーを侵害し、その後内部の VMware vCenter サーバーへ横移動してマルウェアを展開していたことを突き止めました。

攻撃者はまた、被害組織のネットワーク上にある 2 台のドメインコントローラーを侵害し、Active Directory フェデレーションサービス(ADFS)サーバーを突破した後に暗号鍵をエクスポートしました。BrickStorm のインプラントにより、彼らは少なくとも 2024 年 4 月から 2025 年 9 月まで、侵害されたシステムへのアクセスを維持できていました。

システムへのアクセスを得た後、攻撃者が Active Directory データベース情報を取得し、正規の認証情報やその他の機密データを盗み出す目的でシステムバックアップを実行していたことも確認されています。

Image
被害ネットワーク内でのハッカーの横移動(CISA)

ネットワーク上での攻撃者の存在を検知し、潜在的な攻撃を阻止するために、CISA は防御担当者(特に重要インフラおよび政府組織に従事する担当者)に対し、機関が作成した YARA および Sigma ルールを用いて BrickStorm バックドアの活動をスキャンし、許可されていない DNS-over-HTTPS プロバイダーおよび外部トラフィックをブロックするよう助言しています。

また、すべてのネットワーク境界デバイスの棚卸しを行い、不審なアクティビティを監視するとともに、ネットワークをセグメント化して、DMZ から内部ネットワークへのトラフィックを制限する必要があります。

「CISA、NSA、およびサイバーセンターは、本マルウェア分析レポートに記載された侵害の痕跡(IOC)および検知シグネチャを用いて、BRICKSTORM マルウェアサンプルを特定するよう組織に強く求めます」と共同勧告は促しています。「BRICKSTORM、類似のマルウェア、または関連の可能性がある活動が検知された場合、CISA および NSA は、法律および適用されるポリシーで求められるとおり、当該活動を報告するよう組織に求めます。」

本日、サイバーセキュリティ企業 CrowdStrike も、2025 年を通じて米国の法律、テクノロジー、製造業企業のネットワーク上にある VMware vCenter サーバーを標的としたBrickStorm マルウェア攻撃を、中国系ハッカーグループ「Warp Panda」と関連付けました。CrowdStrike は、同じ脅威グループが VMware ESXi 環境において、これまで知られていなかった Junction および GuestConduit マルウェアインプラントを展開していることも観測しています。

この共同勧告は、2024 年 4 月に Google 傘下の Mandiant が初めて文書化した BrickStorm マルウェアを用いて、中国系とみられるハッカーがテクノロジーおよび法律分野の複数の米国組織のネットワーク上で長期的な永続性を獲得していた手口を説明した、2025 年 9 月公開のGoogle Threat Intelligence Group(GTIG)のレポートに続くものです(同マルウェアは2024 年 4 月に初めて公開されました)。

Google のセキュリティ研究者は、これらの攻撃を UNC5221 と呼ばれる悪意あるアクティビティクラスターと関連付けています。このクラスターは Ivanti のゼロデイ脆弱性を悪用し、カスタムマルウェア Spawnant および Zipline を用いて政府機関を標的にすることで知られています。

翻訳元: https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/

ソース: bleepingcomputer.com
#Brickstormマルウェア #CISA #CrowdStrike・Google脅威分析 #DNS over HTTPS(DoH) #VMware vCenter / ESXi #VMware vSphere #Warp Panda(UNC5221) #クリティカルインフラ防御 #ラテラルムーブメント #中国系ハッカー

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用