VMware ESXiのゼロデイ脆弱性を悪用してEDRの検知を回避 攻撃手法の詳細は？

UNC3886と呼称される中国のサイバースパイグループは、VMware ESXiのゼロデイ脆弱性を悪用した最新サイバー攻撃を実行している。このグループはアクティビティーの痕跡を消し去るなど用意周到に立ち回っているようだ。

[後藤大地，有限会社オングス]

　Mandiantは2023年6月13日（現地時間）、「UNC3886」と呼称される中国のサイバースパイグループがEDR（Endpoint Detection and Response）製品による検知を回避する新たなサイバー攻撃手法を利用していると報告した。

　同社によると、新たな攻撃手法は、ハイパーバイザー「VMware ESXi」のゼロデイ脆弱（ぜいじゃく）性を悪用したものだという。

中国のサイバースパイグループはVMware ESXiのゼロデイ脆弱性を悪用している（出典：MandiantのWebサイト）

攻撃の痕跡を消す用意周到さも　VMware ESXiを悪用した攻撃手法の詳細

　Mandiantが報告した攻撃手法の詳細は以下の通りだ。

• 「VMware vCenter Server」アプライアンスに組み込まれた「vPostgreSQLサーバ」に接続されている全てのVMware ESXiホストのサービスアカウント情報を窃取する
• CVE-2023-20867として特定されたゼロデイ脆弱性を悪用して、侵害したVMware ESXiホストからゲスト認証情報を認証せずに「Windows」「Linux」「VMware Photon OS」のゲスト仮想マシン全体で特権コマンドを実行する
• VMware ESXiホストにバックドアを設置し、別のソケットアドレスファミリーであるVMCI（仮想マシン通信インタフェース）を使用して横方向の移動と継続的な持続性を実現する。このアドレスファミリーを利用することでネットワークセグメンテーションやファイアウォールルールに関係なく任意のゲスト仮想マシンから侵害されたVMware ESXiホストのバックドアへの再接続を実行する
• 影響を受けたシステムのロギングサービスの改ざんや無効化を実行する

　Mandiantは、UNC3886について「VMware vCenter ServerやVMware仮想化プラットフォームに対する高い知識と深い理解を有し、注意深く周到にサイバー攻撃を実行している」と分析している。その他、同社は「UNC3886はアクティビティーに関するログを選択的に削除して痕跡を消し去るなど警戒を怠らずにサイバー攻撃を仕掛けている」と指摘している。

　VMware製品は多くのサイバー攻撃の標的となっている。該当プラットフォームを利用している場合は継続的に常に最新のバージョンにアップデートし続けることが推奨される。