ニュース
VMware ESXiのゼロデイ脆弱性を悪用してEDRの検知を回避 攻撃手法の詳細は?
UNC3886と呼称される中国のサイバースパイグループは、VMware ESXiのゼロデイ脆弱性を悪用した最新サイバー攻撃を実行している。このグループはアクティビティーの痕跡を消し去るなど用意周到に立ち回っているようだ。
Mandiantは2023年6月13日(現地時間)、「UNC3886」と呼称される中国のサイバースパイグループがEDR(Endpoint Detection and Response)製品による検知を回避する新たなサイバー攻撃手法を利用していると報告した。
同社によると、新たな攻撃手法は、ハイパーバイザー「VMware ESXi」のゼロデイ脆弱(ぜいじゃく)性を悪用したものだという。
攻撃の痕跡を消す用意周到さも VMware ESXiを悪用した攻撃手法の詳細
Mandiantが報告した攻撃手法の詳細は以下の通りだ。
- 「VMware vCenter Server」アプライアンスに組み込まれた「vPostgreSQLサーバ」に接続されている全てのVMware ESXiホストのサービスアカウント情報を窃取する
- CVE-2023-20867として特定されたゼロデイ脆弱性を悪用して、侵害したVMware ESXiホストからゲスト認証情報を認証せずに「Windows」「Linux」「VMware Photon OS」のゲスト仮想マシン全体で特権コマンドを実行する
- VMware ESXiホストにバックドアを設置し、別のソケットアドレスファミリーであるVMCI(仮想マシン通信インタフェース)を使用して横方向の移動と継続的な持続性を実現する。このアドレスファミリーを利用することでネットワークセグメンテーションやファイアウォールルールに関係なく任意のゲスト仮想マシンから侵害されたVMware ESXiホストのバックドアへの再接続を実行する
- 影響を受けたシステムのロギングサービスの改ざんや無効化を実行する
Mandiantは、UNC3886について「VMware vCenter ServerやVMware仮想化プラットフォームに対する高い知識と深い理解を有し、注意深く周到にサイバー攻撃を実行している」と分析している。その他、同社は「UNC3886はアクティビティーに関するログを選択的に削除して痕跡を消し去るなど警戒を怠らずにサイバー攻撃を仕掛けている」と指摘している。
VMware製品は多くのサイバー攻撃の標的となっている。該当プラットフォームを利用している場合は継続的に常に最新のバージョンにアップデートし続けることが推奨される。
関連記事
- FortiGate/FortiOSの最新アップデートが公開 RCEの脆弱性を修正か
FortinetはFortiGateおよびFortiOSの最新バージョンを公開した。新バージョンには発表前の重要な脆弱性の修正が含まれる可能性があり、ユーザーは可能な限り迅速なアップデートが推奨される。 - リュウジ氏の一件から考える 本当にWordPressは脆弱なのか?
先日、料理研究家のリュウジ氏がWordPressの改ざんを受けた件について報告していました。筆者としては同氏の気持ちは分かるものの、どうもWordPressに関する誤解が広がっているようにも感じます。 - 新たな北朝鮮のサイバー犯罪グループが発見される 日本も標的
Mandiantは北朝鮮政府のために活動するサイバー犯罪グループ「APT43」の報告書を公開した。日本も標的国家に含まれている。北朝鮮政府のために長期にわたって作成を遂行する能力があるとされており注意が必要だ。 - 55件のゼロデイ脆弱性が悪用される Mandiantが2022年の脆弱性分析結果を公開
Mandiantは2022年のゼロデイ脆弱性に関する分析結果を公開した。同社の予測通り、ゼロデイ脆弱性をアクティブに悪用する傾向が続いていることが明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.