Scattered Spiderが米国重要インフラのVMware ESXiを乗っ取り、ランサムウェアを展開

2025年7月28日Ravie Lakshmananサイバー攻撃 / ランサムウェア

Scattered Spiderとして知られる悪名高いサイバー犯罪グループが、北米の小売、航空、運輸セクターを標的にVMware ESXiハイパーバイザーへの攻撃を行っています。

「このグループの主要な戦術は一貫しており、ソフトウェアの脆弱性を利用するものではありません。その代わり、ITヘルプデスクへの電話を中心とした実績ある手法を用いています」とGoogleのMandiantチームは詳細な分析で述べています。

「攻撃者は攻撃的で創造的、かつソーシャルエンジニアリングを駆使して成熟したセキュリティプログラムさえも回避する高度なスキルを持っています。彼らの攻撃は偶発的なものではなく、組織の最も重要なシステムやデータを狙った精密でキャンペーン主導の作戦です。」

0ktapus、Muddled Libra、Octo Tempest、UNC3944とも呼ばれるこれらの脅威アクターは、被害者環境への初期アクセスを得るための高度なソーシャルエンジニアリング攻撃を行い、その後「Living-off-the-land（LotL）」アプローチを採用して信頼された管理システムを操作し、Active Directoryの制御を利用してVMware vSphere環境へと横展開する経歴があります。

Googleによれば、この手法はデータの持ち出しやランサムウェアの展開をハイパーバイザーから直接行う経路を提供し、「非常に効果的」であり、セキュリティツールを回避し、侵害の痕跡もほとんど残さないとしています。

攻撃のチェーンは5つの明確なフェーズで展開されます：

• 初期侵害、偵察、権限昇格。これにより攻撃者はITドキュメント、サポートガイド、組織図、vSphere管理者に関する情報を収集し、HashiCorp Vaultや他の特権アクセス管理（PAM）ソリューションなどのパスワードマネージャから認証情報を列挙します。攻撃者はさらに、企業のITヘルプデスクに追加の電話をかけ、高価値の管理者になりすましてアカウントのパスワードリセットを要求し、アカウントの制御を獲得します。
• マッピングされたActive DirectoryからvSphere認証情報を使って仮想環境にピボットし、VMware vCenter Server Appliance（vCSA）へのアクセスを取得。その後、teleportを実行してファイアウォールルールを回避する永続的かつ暗号化されたリバースシェルを作成します。
• ESXiホストでSSH接続を有効化し、rootパスワードをリセット。「ディスクスワップ」攻撃を実行してNTDS.dit Active Directoryデータベースを抽出します。この攻撃は、ドメインコントローラー（DC）仮想マシン（VM）の電源を切り、その仮想ディスクを切り離し、攻撃者の管理下にある別の監視されていないVMに接続することで実行されます。NTDS.ditファイルをコピーした後、全プロセスを元に戻し、DCの電源を入れ直します。
• アクセスを武器化し、バックアップジョブ、スナップショット、リポジトリを削除して復旧を妨害します。
• ESXiホストへのSSHアクセスを利用し、SCP/SFTP経由で独自のランサムウェアバイナリを送り込みます。

「UNC3944の手法は、防御戦略の根本的な転換を必要とし、EDRベースの脅威ハンティングからインフラ中心の積極的な防御へと移行する必要があります」とGoogleは述べています。「この脅威は従来のWindowsランサムウェアと比較して、スピードとステルス性の2点で異なります。」

また、テック大手は攻撃者の「極端な速度」にも言及し、初期アクセスからデータ持ち出し、最終的なランサムウェア展開までの全感染プロセスがわずか数時間で完了する可能性があると述べています。

Palo Alto Networks Unit 42によると、Scattered Spiderの攻撃者はソーシャルエンジニアリングに長けているだけでなく、DragonForce（別名Slippery Scorpius）ランサムウェアプログラムとも提携し、あるケースでは2日間で100GB以上のデータを持ち出したとされています。

このような脅威に対抗するため、組織は3層の防御策を講じることが推奨されています：

• vSphereロックダウンモードの有効化、execInstalledOnlyの強制、vSphere VM暗号化の利用、古いVMの廃止、ヘルプデスクの強化
• フィッシング耐性の多要素認証（MFA）の導入、重要なIDインフラの分離、認証ループの回避
• 主要なログの集中管理と監視、バックアップを本番Active Directoryから分離し、侵害された管理者からアクセスできないようにする

Googleはまた、VMware vSphere 7からの移行時には、2025年10月にサポート終了（EoL）を迎えることから、セキュリティを考慮したシステム再設計を組織に強く促しています。

「ESXiホストやvCenter Serverを含むvSphereインフラを標的としたランサムウェアは、即時かつ広範囲なインフラ麻痺を引き起こす能力があるため、極めて深刻なリスクとなります」とGoogleは述べています。

「これらの推奨される緩和策を実施してこれらの相互に関連するリスクに積極的に対処しなければ、組織は標的型攻撃にさらされ、仮想化インフラ全体が迅速に麻痺し、業務の混乱や財務的損失につながる恐れがあります。」