VMware vSphere環境を狙うバックドア「BRICKSTORM」の脅威とは？：セキュリティニュースアラート

中国が支援する脅威アクターが使うバックドア型マルウェア「BRICKSTORM」に関する分析報告をCISAらが公開した。VMware vSphere環境を標的に長期潜伏し、高度な暗号化通信や横移動機能を備える実態が示されている。

[後藤大地，ITmedia]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2025年12月4日（現地時間）、「BRICKSTORM」と呼ばれるバックドア型マルウェアに関する分析報告を公開した。

　報告はCISAや米国家安全保障局（NSA）、カナダサイバーセキュリティセンター（CCCS）らが共同で作成しており、中華人民共和国の国家支援を受けた脅威アクターが長期間にわたって被害組織のシステムに潜伏する手段としてBRICKSTORMを活用しているという。

高度な秘匿通信と持続性を持つ「BRICKSTORM」バックドアの実態

　BRICKSTORMはプログラミング言語Goで作成されたカスタムELF形式のバックドアで、今回分析したサンプルはいずれも「VMware vSphere」環境（「vCenter」サーバおよびESXi）を対象にしていた。

　分析によると、各サンプルはステルス性の高い持続的アクセスや初期化処理、環境設定、暗号化通信による指令送信などの機能を備えていた。コマンド＆コントロール（C2）サーバとの通信にはHTTPS、WebSocket、ネスト化したTLS、DNS-over-HTTPS（DoH）など複数の暗号化手法が使われており、正規通信に溶け込む構造が確認されている。リモートシステム制御としてはインタラクティブシェルの提供やファイル操作などを提供し、一部のサンプルではSOCKSプロキシによる横移動支援などが実施されていた。

　CISAが対応したある被害組織では、2024年4月に中国支援の脅威アクターによる内部ネットワークへの不正アクセスが始まり、内部のvCenterサーバにBRICKSTORMが配置された事例が確認されている。攻撃者はその後、ドメインコントローラー2台およびADFSサーバに不正アクセスし、暗号鍵の取得までしていた。これらのアクセスは2025年9月初旬まで継続した形跡が示されている。

　報告では侵入直後にDMZのWebサーバに設置したWebシェルを足掛かりに、RDPやSMBを利用して複数の内部サーバに横移動を進めた背景を説明している。サービスアカウントの認証情報を悪用した動きも複数確認されているが、その一部は入手経路が不明とされている。vCenter到達後は権限昇格をし、/etc/sysconfig/配下にBRICKSTORMを投入した上で初期化スクリプトを改変し、起動プロセスに組み込んでいた。

　分析された複数のサンプルにおいて、自己監視機能によって稼働状態が途切れた際に自動的に再インストールや再起動をする仕組みが確認されている。環境変数を使った親子プロセスの判定や、正規の格納パスから実行されているかどうかを判断する仕組みも共通しており、削除や妨害が起きても動作を保持できる設計となっていた。

　通信の確立方法はサンプルごとに差異があるが、DoHを使ったC2アドレスの秘匿解決、WebSocket Secure接続、TLSの多層利用、トンネリングの多重化などが共通点として挙げられている。特定のサンプルでは仮想環境用にVSOCKによる通信機能が実装され、仮想マシン間で秘匿経路を形成し、データ流出や内部移動を容易にしていた。

　CISAとNSA、CCCSは、レポートに含まれるセキュリティ侵害インジケーター（IoC）や検知ルール（YARAおよびSigma）を活用し、不審な挙動が確認されている場合、速やかに関係当局に通報するよう求めている。加えて、VMware vSphereの更新やネットワーク境界装置の把握、DMZから内部への不要な接続遮断、サービスアカウントの最小権限化、DoH通信の制御など、複数の防御策を提示している。