サイバーセキュリティ企業Sygniaの報告によると、中国のサイバースパイグループが、洗練されたステルス性の高いキャンペーンでVMwareおよびF5製品の脆弱性を標的にしています。
Fire Antとして追跡されているこのハッカーグループは、仮想化およびネットワーク機器を侵害し、制限された分割環境へのアクセスを獲得していることが確認されています。
Fire Antはインフラストラクチャに注力し、侵害した機器を初期アクセス、横方向移動、永続化に利用しています。また、仮想化ホストを活用して、認証されていないホストからゲストへのコマンドや侵害された認証情報を使い、ゲスト環境へアクセスしていることが観測されています。
「Sygniaは高いレベルの運用耐性を観測しました。Fire Antは駆除や封じ込めの試みに積極的に適応し、ツールセットの入れ替えや冗長な永続化バックドアの展開、ネットワーク設定の操作によって再度アクセスを確立していました」とSygniaは述べています。
分析された侵入の一環として、このサイバースパイグループは、認証なしでリモートコード実行が可能となる重大なvCenter Serverの脆弱性CVE-2023-34048を悪用し、仮想化管理層を掌握しました。
vCenterから抽出した‘vpxuser’サービスアカウントの認証情報を使い、ハッカーは接続されたESXiホストへピボットし、環境全体に永続的なバックドアを展開しました。次に、ゲストVMとやり取りし、認証なしでホストからゲストへの操作を可能にするESXiの脆弱性CVE-2023-20867を悪用しました。
これらの活動により、Sygniaによれば、攻撃者はハイパーバイザーから直接ゲストOSへの永続的かつ秘匿されたアクセスを得る、フルスタックの侵害が実現されました。
ハッカーはまた、信頼されたシステムを経由してトンネリングを行い、セグメンテーションを体系的に回避し、分離されたネットワークへのアクセスやセグメント間の永続化を確立している様子も確認されています。
広告。スクロールして読み続けてください。
彼らはCVE-2022-1388を悪用してF5ロードバランサーを侵害し、異なるネットワーク間のブリッジを可能にするウェブシェルを展開しました。
「脅威アクターは、標的環境のネットワークアーキテクチャやポリシーを深く理解しており、セグメンテーション制御を巧みに回避して、内部の(おそらく分離された)資産に到達していました」とSygniaは述べています。
このサイバーセキュリティ企業は、観測された活動やツールに関する技術的詳細を公開しており、以前中国のサイバースパイグループUNC3886に帰属されたTTPとの強い重複を特定したと述べています。
Fire AntとUNC3886は、仮想化およびネットワークインフラに対して同じ脆弱性を悪用しただけでなく、VirtualPitaバックドアを含む同じマルウェアも攻撃に使用していました。Fire Antの稼働時間や入力ミスは、中国および中国語キーボードレイアウトを示唆しています。
「Sygniaは断定的な帰属は控えていますが、Fire Antのキャンペーンの複数の側面、特にVMware仮想化インフラを標的とした独自のツールセットと攻撃ベクトルは、脅威グループUNC3886に関する過去の調査結果と強く一致しています」とサイバーセキュリティ企業は述べています。
関連記事: 中国のスパイ、2021年以降VMware vCenter Serverの脆弱性を悪用
関連記事: 中国のサイバースパイ、Ivanti VPN攻撃で新たなマルウェアを使用