Warp Pandaとして追跡されている高度な中国関与の脅威アクターが、BrickStormおよびその他のマルウェアファミリーを用いて、米国の法律、製造、テクノロジー関連組織を標的にしています。
侵害ネットワークへの長期的なアクセス維持に重点を置き、Warp Panda APTはエッジデバイスを悪用して初期侵入を行い、有効な認証情報や既知の脆弱性を利用してVMware vCenterサーバーへ横方向に移動します。
この脅威アクターは、横方向移動にSSHおよび特権vCenterアカウントであるvpxuserを使用していることが確認されており、ホスト間のデータ転送には安全なファイル転送プロトコル(SFTP)を利用し、BrickStormマルウェアを通じてトラフィックをトンネリングしています。
少なくとも2022年から活動しているWarp Pandaは、ログの削除、ファイルタイムスタンプの変更、使用後の悪意あるVMのシャットダウンによって痕跡を隠す様子も観測されています。
さらに、流出用データのステージングにESXi互換版7-Zipを使用し、非ESXiのLinuxベースハイパーバイザーからデータを抽出する際にも7-Zipに依存し、ドメインコントローラーVMをクローンしていました。
あるケースでは、このハッカーグループは侵害したネットワークを利用して、アジア太平洋地域のある政府機関に対する偵察を行っていました。
長期潜伏のために設計されたBrickStormマルウェア
2023年のMITREを標的とした攻撃で初めて観測されたBrickStormマルウェアは、正規のvCenterプロセスを装うよう設計されており、トンネリング機能とファイル管理機能を備えています。
GoogleはBrickStormを中国系ハッカーグループUNC5221に帰属させており、最近、この脅威アクターが侵害ネットワーク内にほぼ400日間潜伏していたサイバースパイ活動を明らかにしました。
CrowdStrikeによれば、これまでのところBrickStormを使用しているのはWarp Panda APTのみが確認されていますが、このマルウェアは「複数の中国関連アクターによって使用されている可能性が高い」と指摘しています。
木曜日、米国サイバーセキュリティ庁(CISA)は、中国政府支援ハッカーがBrickStormを用いて政府、各種施設、情報技術関連組織を標的としていることに関する警告を発出しました。
CISAによると、このマルウェアは被害組織のネットワーク上で長期的な潜伏を可能にします。ある事例では、2024年4月にVMware vCenterサーバー上に展開され、少なくとも2025年9月まで検知されませんでした。
高度な通信秘匿機能に加え、このマルウェアは「長期的な持続性を確保する仕組みを組み込んでおり、自身を監視して、妨害された場合には自動的に再インストールまたは再起動する自己監視機能を備えることで、継続的な稼働を保証している」とCISAは説明しています。
さらなるVMwareマルウェアと脆弱性悪用
CrowdStrikeの報告によると、Warp Panda APTは、BrickStormを、VMwareサーバーを標的とする他の2つのGolang製マルウェアファミリーであるJunctionおよびGuestConduitと組み合わせて使用しており、これらは連携して動作することを意図しているとみられます。
JunctionはHTTPサーバーとして動作し、コマンド実行、ネットワークトラフィックのプロキシ、VMソケット(VSOCK)を用いたゲストVMとの通信が可能です。
GuestConduitはネットワークトンネリング機能を備え、ゲストVMとハイパーバイザー間の通信を可能にし、JSON形式のクライアントリクエストを解析します。
CrowdStrikeは、Warp PandaがIvanti Connect Secure VPNアプライアンス(CVE-2024-21887およびCVE-2023-46805)、VMware vCenterサーバー(CVE-2024-38812、CVE-2023-34048、およびCVE-2021-22005)、F5 BIG-IPデバイス(CVE-2023-46747)の複数の脆弱性を悪用していることを確認しています。
2025年には、この脅威アクターがMicrosoft Azure環境を標的にしてOneDrive、SharePoint、Exchangeのデータにアクセスしている様子も観測されました。少なくとも1件の事例では、新たな多要素認証(MFA)デバイスを登録しており、別の事例ではMicrosoft Graph APIを悪用して偵察を行っていました。
「この敵対者は主に北米の組織を標的とし、一貫して侵害ネットワークへの持続的かつ秘匿されたアクセスを維持しており、これはおそらく[中国の]戦略的利益に沿った情報収集活動を支援するためだとみられる。Warp Pandaは、今後も短期から長期にわたり情報収集活動を継続する可能性が高い」とCrowdStrikeは述べています。
