研究者らは米国企業を標的としたキャンペーンの概要を示し、CISAは政府サービスやIT企業に対する攻撃について警告している。
中国関連の脅威アクターが、米国企業のVMware vCenter環境に侵入した後、Brickstormマルウェアを展開していたと、セキュリティ企業CrowdStrikeはブログ投稿で警告した。この投稿は木曜日に公開された。
この脅威アクターはWarp Pandaという名称で追跡されており、2025年夏に法務、テクノロジー、製造業など複数の業界を標的にした。
Brickstormマルウェアの展開に加え、ハッカーらはJSPウェブシェルと、JunctionおよびGuest Conduitとして追跡されている2つのGolangベースのインプラントも展開し、VMware ESXiハイパーバイザー環境を標的にした。
ハッカーらは、インターネットに面したエッジデバイスを悪用して初期アクセスを獲得し、その後、有効な認証情報を使用するか、vCenterの脆弱性を悪用してvCenter環境へと横移動した。
Warp Pandaは、これらの攻撃において長期的かつ持続的なアクセスの維持に注力している。あるインシデントでは、ハッカーは2023年に初期アクセスを獲得していた。
この警告は、勧告と同時に出されたもので、水曜日にサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と国家安全保障局(NSA)が、政府サービスおよび情報技術プロバイダーのVMware vSphereプラットフォームを標的とする、国家支援ハッカーによるBrickstormマルウェアの使用について警告した。
CISA、NSA、カナダ・サイバーセキュリティセンターは、ハッカーらがクローンされた仮想マシンのスナップショットを盗み、認証情報を抽出して、隠れた不正な仮想マシンを作成していると警告した。
CISAは、標的となった組織から8つのマルウェアサンプルを収集している。あるケースでは、組織はハッカーが2024年4月から2025年9月までネットワーク内部に留まっていたことを知った。
9月には、Google Threat Intelligence Groupの研究者らが、国家と関係するハッカーが、テクノロジー企業やSaaSプロバイダーに対するサプライチェーン攻撃でBrickstormマルウェアを展開していると警告した。
GTIGは、国家と関係するアクターが、米国組織を標的とした継続的な攻撃の中で、Brickstormの使用方法を進化させていると述べた。
「このキャンペーンは、中国関連のアクターがネットワーク機器のようなデバイスを標的にするという、より広範な傾向を浮き彫りにしています。こうしたデバイスは十分なセキュリティ監視が行われていないことが多いのです」と、GTIGのプリンシパル脅威アナリストであるAustin Larsen氏は、電子メールでCybersecurity Diveに語った。「この長期にわたるキャンペーンの目的は、戦略的優位性を得るために、米国拠点の組織から機密データを盗み出すことです。」
翻訳元: https://www.cybersecuritydive.com/news/china-actor-us-entities-brickstorm-malware/807166/
