コンテンツにスキップするには Enter キーを押してください

中国の「Fire Ant」スパイが未修正のVMwareインスタンスを攻撃開始

投稿日 2025年7月28日

このキャンペーンは、長らく修正済みのVMwareの脆弱性を悪用し、ESXiホストを乗っ取り、防御を回避し、ターゲット内部に持続的に潜伏しました。

中国と関係が疑われる攻撃者が、2025年初頭から活動している新たな「Fire Ant」スパイ活動を展開しており、VMWare ESXi、vCenterサーバー、F5アプライアンスを標的に、ステルス性の高いハイパーバイザーレベルの制御を狙っています。

Sygniaの発見によると、このキャンペーンはVMware環境の重大な脆弱性を悪用し、仮想化インフラへの認証不要のアクセスを獲得し、VirtualPitaやautobackup.binといった持続的なマルウェアを展開していました。

TeleportのCEOであるEv Kontsevoy氏によれば、これは典型的な国家主導の攻撃手法です。「Fire Antはインフラの脆弱性を突き、盗まれた認証情報を使ってシステムに侵入しています」と同氏は述べています。「これは孤立した戦術ではありません。多くの国家系グループが、その有効性と検知の難しさから同様の手法を採用し始めています。」

SygniaはFire Antを特定の攻撃者に帰属させることは控えましたが、キャンペーンのツールやVMwareに特化した攻撃手法、活動時間、キーボードパターンが、中国系グループUNC3886に関する過去の調査結果と非常に一致していると指摘しました。

VMWareの脆弱性を利用した初期侵入

攻撃者は、VMware vCenterのCVE-2023-34048を悪用して認証不要のリモートコード実行(RCE)を実現し、その後「vpxuser」サービスアカウントの認証情報を取得しました。vpxuserは、vCenterがESXiホストをフル管理権限で制御するために自動作成するアカウントです。vpxuserはロックダウンモードの制限を受けないため、攻撃者は直接ログインが無効化されていても、接続されたすべてのESXiサーバー(ESXiハイパーバイザーを実行する物理マシン)に対するホストレベルの制御を維持できました。

完全な管理者権限を得た攻撃者は、VirtualPitaやautobackup.binなどの持続的なバックドアを設置し、システムのログ記録デーモン(vmsyslogd)を無効化して再起動後も痕跡を隠しました。

Kontsevoy氏はこれを「アイデンティティ管理の失敗」と呼んでいます。「攻撃者は盗まれた認証情報を使ってバックドアを作成し、一般的で信頼されたツールを通じて正規の従業員の行動を模倣しました」と同氏は述べています。「これは、アイデンティティが技術的な境界を越えると、その痕跡が失われるためです。誰もその後どこに行ったかを追跡できません。この可視性のギャップがバックドアの見逃しや、攻撃者の再侵入を可能にしています。」

攻撃者はさらに、CVE-2023-20867を悪用し、VMware Tools/PowerCLI経由で認証不要のホストからゲストへのコマンド実行を行い、ゲストVMにアクセスしてメモリ上のドメイン認証情報を抽出しました。

トンネリングによる横方向移動

Fire Antは内部侵入後、F5 BIG-IPデバイスのCVE-2022-1388を悪用してネットワーク分割を回避しました。これにより、Neo-reGeorgウェブシェルなどの暗号化トンネルを展開し、分離された環境にも到達、さらにIPv6を活用してIPv4フィルタを回避しました。

「脅威アクターは、ターゲット環境のネットワークアーキテクチャとポリシーを深く理解しており、分割制御を巧みに回避して内部の、通常は分離されている資産に到達しました」とSygniaはブログ投稿で述べています。「ネットワークインフラを侵害し、信頼されたシステムを経由してトンネリングすることで、脅威アクターは分割境界を体系的に突破し、分離ネットワークに到達し、セグメントをまたいだ持続性を確立しました。」

攻撃者は、検知を回避し、クリーンアップ後も再侵入するために、ツールの変更やファイルの偽装、冗長な持続バックドアの設置など、手法を絶えず適応させていました。

Sygniaは、組織に対し、脆弱なVMwareコンポーネントのパッチ適用、サービスアカウント認証情報の定期的なローテーション、ESXiロックダウンモードの有効化によるホストアクセス制限を推奨しています。また、専用の管理ジャンプホストの利用、管理ネットワークの分割、vCenter・ESXi・従来のエンドポイント可視性が不足しがちなアプライアンスの監視強化も勧めています。

「国家系ハッカーやその他の犯罪者がインフラに簡単にアクセスするのを防ぐ唯一の方法は、アイデンティティの統合です」とKontsevoy氏は付け加えました。「人間、ソフトウェア、ハードウェア、AIを問わず、すべてのアイデンティティを統合することで、企業は唯一の信頼できる情報源と、アイデンティティがどのようにシステムに入り、移動するかの完全な可視性を得ることができます。」

ニュースレターを購読する

編集部からあなたの受信箱へ

まずは下記にメールアドレスを入力して始めましょう。

翻訳元: https://www.csoonline.com/article/4029545/chinese-fire-ant-spies-start-to-bite-unpatched-vmware-instances.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です