サイバー犯罪者がゼロデイ・ツールセットを用いてVMware ESXiの脆弱性を悪用

Huntressのセキュリティ研究者は、VMwareによる公表より1年以上前から検知されないまま存在していたゼロデイ・ツールキットを用いた、高度なVMware ESXi 悪用キャンペーンを発見しました。

侵害されたSonicWall VPNを起点に始まった2025年12月の侵入は、脅威アクターが複数の重大な脆弱性を連鎖させ、ハイパーバイザーを完全に侵害する手口を示しています。

攻撃チェーンはVPNの侵害から始まる

Huntress Tactical Responseチームは、脅威アクターが盗まれたドメイン管理者（Domain Admin）資格情報を用い、侵害されたSonicWall VPN経由で初期アクセスを獲得する様子を観測しました。

ネットワーク内部に侵入すると、攻撃者はRDPを介してバックアップおよびプライマリのドメインコントローラーへ横展開し、Advanced Port ScannerやSoftPerfect Network Scannerなどの偵察ツールを展開しました。

その後、攻撃者はShareFinderを実行してネットワーク共有を列挙し、VMware ESXiのエクスプロイト・ツールキットを展開しました。

ツールキットの展開後、脅威アクターはWindows ファイアウォール規則を変更し、内部接続を維持したまま侵害ホストを外部ネットワークから隔離しました。

この戦術により、被害者が外部のセキュリティリソースへアクセスすることを妨げつつ、内部ネットワーク全体での横展開を可能にして攻撃の影響範囲を最大化しました。

Huntressの研究者は、中程度の確度で、このツールキットが2025年3月のセキュリティアドバイザリVMSA-2025-0004で開示された3つのVMware脆弱性を悪用していると評価しました。

CVE-2025-22226（CVSS 7.1）は、HGFSにおける境界外読み取りを利用してVMXプロセスのメモリを漏えいさせます。CVE-2025-22224（CVSS 9.3）は、VMCIにおけるtime-of-check-time-of-use（TOCTOU）脆弱性を悪用して境界外書き込みを引き起こし、VMXプロセスとしてのコード実行を可能にします。

CVE-2025-22225（CVSS 8.2）は、ESXiにおける任意書き込み能力を提供し、攻撃者がVMXサンドボックスからカーネルレベルへエスケープできるようにします。

MAESTROと名付けられたこのエクスプロイト・ツールキットは、VMware VMCIドライバーを無効化し、Kernel Driver Utility（KDU）を使用してドライバー署名の強制を回避し、署名のないエクスプロイト・ドライバーをカーネルメモリへロードすることで、攻撃全体を統括します。

実行されると、このツールキットはVSOCKpuppetを展開します。これはVMwareのVirtual Sockets（VSOCK）インターフェース上で通信するバックドアであり、悪性トラフィックを従来のネットワーク監視ツールから見えなくします。

中国語の開発パスが、潤沢なリソースを持つ脅威アクターを示唆

ツールキットのPDBパスを分析したところ、簡体字中国語の文字列が確認されました。これには「全版本逃逸–交付」（訳：「全バージョン脱出（エスケープ）– 配布」）という名前のフォルダーが含まれており、タイムスタンプから、VMwareの公表より1年以上前の2024年2月に開発されていたことが示されています。

このツールキットは、5.1から8.0までのバージョンにまたがる155のESXiビルドをサポートしており、中国語圏で活動する可能性が高い、潤沢なリソースを持つ開発者の存在を示唆します。

ESXiを運用する組織は直ちにパッチを適用する必要があります。サポート終了（EOL）のバージョンは修正が提供されないまま、引き続き露出した状態にあります。

防御側は、「lsof -a」を使用してESXiホストを監視し、異常なVSOCKプロセスを特定するとともに、KDUが脆弱な署名済みドライバーをロードするようなBYOD 手法に注意すべきです。

侵害の痕跡（IOC）