ロブ・ライト、シニアニュースディレクター、Dark Reading
2025年7月25日
読了時間:4分
出典:Man Chun Yeung(Alamy Stock Photo経由)
中国の国家支援とみられる脅威グループが、脆弱なVMware ESXiおよびvCenter環境を悪用した大規模なサイバー諜報活動を展開しています。
2025年初頭以降、Sygniaの研究者は「ファイアアント」と呼ばれるサイバー諜報キャンペーンに関連する複数のインシデントに対応しています。木曜日に公開された調査によると、ファイアアントの攻撃者は組織のVMwareシステムに初期アクセスを確立しており、これらは近年攻撃者にとって人気の標的となっています。
さらに重要なのは、ファイアアントの攻撃者が標的環境に関する深い知識と高度な能力を駆使し、ネットワークの分割を一貫して回避し、隔離されたネットワーク部分に到達していたことです。
「脅威アクターは高度かつステルス性の高い技術を組み合わせ、多層的な攻撃キルチェーンを作り出し、隔離されていると想定されていた環境内の制限されたネットワーク資産へのアクセスを可能にしていました」と調査チームはブログ記事で述べています。
ファイアアント攻撃者とUNC3886の関係
Sygniaによるこのサイバー諜報キャンペーンの調査では、ファイアアントの攻撃者がVMware vCenterの約2年前の脆弱性(CVE-2023-34048として追跡)を悪用し、標的組織への初期アクセスを得ていたことが判明しました。
CVE-2023-34048は2023年10月に最初に公開されました。しかし、その数か月後、Mandiantはこの脆弱性が公開前の約2年間、ゼロデイ脆弱性として悪用されていたことを、中国系脅威グループUNC3886によって明らかにしました。
Sygniaは、ファイアアントのツールやVMwareインフラへの標的化が「脅威グループUNC3886に関する過去の調査と強く一致する」と指摘していますが、同社は決定的な帰属には至っていません。UNC3886は近年、VMware利用者にとって大きな脅威となっています。
ファイアアントのキャンペーンでは、攻撃者が侵害したvCenterインスタンスを利用して認証クッキーを偽造し、サービスアカウントの認証情報を取得して、接続されたESXiホストに管理者権限でアクセスしていました。ESXiホストの制御を得た攻撃者は、脅威活動を隠蔽するためにログを改ざんし、システム再起動後も残るバックドアを設置していました。
さらに、ハイパーバイザーを侵害した後、ファイアアントの攻撃者は別の脆弱性(CVE-2023-20867)を悪用し、必要な認証なしにゲスト仮想マシン(VM)内でコマンドを実行していました。CVE-2023-20867は認証バイパスの脆弱性で、UNC3886によっても悪用され、2023年にMandiantの研究者によって公開されました。
攻撃者はゲストVM内でコマンドを実行することで、仮想メモリファイルにアクセスし、さらなる認証情報を抽出したり、SentinelOneのエンドポイント検知・対応(EDR)プラットフォームを改ざんするカスタム実行ファイルを使用したりしていました。
サイバー攻撃者がネットワークの壁を突破
VMware環境のフルスタック侵害を達成した後、ファイアアントの攻撃者は組織のネットワークインフラを利用し、ネットワーク分割を回避して隔離環境に到達していました。研究者によると、攻撃者はCVE-2022-1388という、2022年に野生下で最初に悪用された重大なF5の脆弱性を利用し、ロードバランサーを侵害していました。
ファイアアントの攻撃者はその後、内部Webサーバーにアクセスし、オープンソースプロジェクトNeo-reGeorgを基にしたネットワークトンネリングWebシェルを展開し、被害者ネットワークの他の部分への暗号化されたアプリケーション層トンネルを作成しました。ファイアアントキャンペーンで使われたもう一つの手法は、IPv4用に設定されたフィルタリングルールを回避するためにIPv6を利用するもので、Sygniaの研究者はこれを「IPv6トラフィックが監視・フィルタされずに放置されがちなデュアルスタック環境の一般的なギャップ」と呼んでいます。
脅威アクターはまた、サーバーや管理者ワークステーションでポートフォワーディングを有効にするコマンドを使い、ファイアウォールルールや分割制御に引っかかることなく、ネットワークの制限された部分に到達していました。
「重要なインフラ内にトンネルを埋め込み、信頼された管理者経路を悪用し、運用上のギャップを突くことで、ファイアアントは隔離されたネットワーク間に複数の冗長的な橋を作り、アクティブな対応下でも自由に移動できるようにしていました」と調査チームは述べています。
Sygniaの研究者によると、最初に検知されたのはゲストVM内の単独の悪意あるプロセスで、これがアラートを引き起こしました。調査を進めると、その親プロセスがVMware Toolsの一部であることが判明しました。
「この詳細から、コマンドはゲスト内から発信されたのではなく、ホストから注入されたことが示唆されました」と彼らはブログ記事で書いています。「この異常により調査は仮想化レイヤーに向かい、より広範なキャンペーンの発見につながりました。」
Sygniaの調査チームは、このキャンペーンが組織に仮想環境の強化を促すものであるとし、多くのセキュリティ製品がESXiホストのような資産に十分な可視性を持っていないことを指摘しています。Sygniaは、VMware vCenterおよびESXiインスタンスのパッチ適用、すべてのESXi rootアカウントおよびvCenter管理者ユーザーに対するユニークで複雑なパスワードの設定、特権ID管理(PIM)ソリューションによる認証情報のローテーションとアクセス監査を推奨しています。
さらにSygniaは、ESXiホストに対して追加の分割を実施し、管理操作をvCenter経由に限定し、vCenterへのアクセスを特定の資産のみに制限するファイアウォールルールの適用を推奨しています。また、ESXiホストで「ノーマルロックダウンモード」を有効にし、直接SSH、HTTPS、DCUIでのアクセスを防ぐことも勧めています。