Googleの脅威インテリジェンスグループ(GTIG)のセキュリティ研究者によって、洗練された高度な標的型サイバー攻撃キャンペーンが確認されました。
新たなレポートによると、金銭目的の脅威グループUNC3944(別名Scattered Spider)が、米国の小売、航空、保険業界においてVMware vSphere環境を悪用する作戦へと転換したことが明らかになりました。
Scattered Spiderの攻撃者は、ソーシャルエンジニアリングとインフラ悪用に重点を置いた、積極的かつ低エクスプロイトのプレイブックも採用しています。
彼らの戦略は、電話を使ったなりすましによるITヘルプデスクの突破から始まり、最終的にActive Directoryへのアクセスを可能にします。そこから攻撃者は、管理システムを体系的にマッピングし、権限を昇格させ、仮想インフラ内を横断的に移動しますが、従来のエンドポイント防御を回避します。
ハイパーバイザー層への直接攻撃
先週公開されたアドバイザリで、GTIGはUNC3944がvSphere仮想化レイヤーを侵害することで従来の検知を回避する攻撃モデルを開発したと報告しました。一度侵入すると、グループはvCenterの管理者権限を乗っ取り、正規ツールを悪用してハイパーバイザーを制御し、仮想ディスクを操作し、永続的なバックドアを設置します。
彼らの手法は、VMware vCenter Serverを乗っ取り、シングルユーザーモードで再起動し、隠密な制御を維持するために設定された正規のリモートアクセスツール「Teleport」を展開するものです。その後、ESXiホストに移動して認証情報データベースを盗み、ハイパーバイザー層から直接ランサムウェアを実行することで、ゲスト内のセキュリティツールを無効化します。
VMwareを標的とした攻撃の詳細:VMware、積極的に悪用されているゼロデイ脆弱性のパッチ適用を顧客に警告
主な標的と手法
UNC3944のキャンペーンは、いくつかの大きなインパクトを持つ戦術によって特徴付けられます:
-
ITヘルプデスクをソーシャルエンジニアリングし、特権アカウントのパスワードをリセットさせる
-
vSphere管理者権限を乗っ取り、VMware vCenterにアクセスする
-
「孤立した」仮想マシンを利用してドメインコントローラのディスクをマウント・コピーする
-
ランサムウェア展開前にバックアップシステムを無効化する
-
ESXiシェルからランサムウェアを実行し、環境全体を暗号化する
これらの攻撃は迅速かつステルス性が高いです。GTIGは、初期侵入からランサムウェアの展開まで、全工程がわずか数時間で完了する可能性があると警告しています。
防御策と業界の展望
本調査は、リアクティブなエンドポイント検知からプロアクティブなインフラ強化へのシフトを強調しています。
GTIGは、積極的な設定、アーキテクチャの分離、高度なSIEM検知という3本柱の防御戦略を提示しました。ESXiシェルへの直接アクセスの無効化、VMデータの暗号化、バックアップシステムの隔離、フィッシング耐性の多要素認証の徹底を推奨しています。
「脅威は差し迫っており、攻撃チェーンは実証済みです」とレポートは結論付けています。「UNC3944のようなグループによるハイパーバイザー層の戦術はもはや独占的なものではなく、同じTTPが他のランサムウェアグループにも積極的に採用されています。この拡大により、専門的だった脅威が一般的な攻撃ベクトルへと変化しており、今こそ対策を講じる時です。」
翻訳元: https://www.infosecurity-magazine.com/news/scattered-spider-targets-us-virtual/