Last Updated on 2024-05-25 11:19 by TaTsu
MITRE Corporationが、2023年12月下旬にIvanti Connect Secure (ICS)のゼロデイ脆弱性を悪用して行われたサイバー攻撃について発表した。攻撃者は、MITREのVMware環境内に悪意のある仮想マシン(VM)を作成し、検出を回避した。
攻撃者は、vCenter Serverへのアクセスを乗っ取り、Tomcatサーバー下にJSPウェブシェル(BEEFLUSH)を配置し、Pythonベースのトンネリングツールを使用して、攻撃者が作成したVMとESXiハイパーバイザーインフラストラクチャ間でSSH接続を容易にした。この手法は、vCenterのような集中管理インターフェースからの検出を避け、検出リスクを減らしながら持続的なアクセスを維持する目的がある。
Google傘下のMandiantによってUNC5221として追跡されている中国系の脅威アクターが、ICSの脆弱性CVE-2023-46805とCVE-2024-21887を悪用してMITREのNetworked Experimentation, Research, and Virtualization Environment (NERVE)に侵入したことが明らかになった。
多要素認証を回避し初期アクセスを得た後、攻撃者はネットワーク内を横断し、管理者アカウントを乗っ取ってVMwareインフラストラクチャを制御し、アクセスを維持し認証情報を収集するためのバックドアやウェブシェルを展開した。これには、Golangベースのバックドア(BRICKSTORM)や、任意のコマンド実行とコマンドアンドコントロールサーバーとの通信を可能にする2つのウェブシェル(BEEFLUSHとBUSHWALK)が含まれていた。
MITREは、標準の管理プロセスの外で動作し、確立されたセキュリティポリシーに従わない悪意のあるVMは、GUIだけでは検出と管理が困難であると述べた。悪意のあるVMに関連するリスクを効果的に特定し軽減するためには、特別なツールや技術が必要である。
検出回避とアクセス維持のための攻撃者の巧妙な努力に対抗する効果的な対策として、セキュアブートを有効にすることが挙げられ、これによりブートプロセスの完全性を検証することで不正な変更を防ぐ。また、VMware環境内の潜在的な脅威を特定し軽減するために、Invoke-HiddenVMQueryとVirtualGHOSTという2つのPowerShellスクリプトを提供している。
【編集者追記】用語解説
- Ivanti Connect Secure: Ivantiが提供するリモートアクセスVPNソリューション。企業ネットワークへのセキュアな接続を可能にする。
- VMware: 仮想化ソフトウェアの大手ベンダー。vCenterサーバーやESXiハイパーバイザーなどの製品を提供する。
- Tomcatサーバー: Apacheソフトウェア財団が開発するJavaの汎用Webアプリケーションサーバー。
- トンネリングツール: ネットワークトラフィックをカプセル化し、別のプロトコルでトンネリングすることで通信を隠蔽するツール。
- SSH接続: セキュアなリモート接続を可能にするプロトコル。暗号化されたデータ転送が可能。
- Mandiant: サイバーセキュリティ企業。ハッカー集団UNC5221の追跡を行っている。
- CVE-2023-46805: Ivanti Connect Secureの認証バイパスの脆弱性。
- CVE-2024-21887: Ivanti Connect Secureのコマンドインジェクションの脆弱性。
【参考リンク】
MITRE Corporationオフィシャルサイト(外部)
VMwareオフィシャルサイト(外部)
【関連記事】
サイバーセキュリティ関連の記事をinnovaTopiaでもっと読む
【ニュース解説】
MITRE Corporationが2023年12月下旬に遭遇したサイバー攻撃では、攻撃者がIvanti Connect Secure (ICS)のゼロデイ脆弱性を悪用し、MITREのVMware環境内に不正な仮想マシン(VM)を作成することで検出を回避しました。この攻撃は、中国系の脅威アクターであるUNC5221によって実行され、多要素認証を回避して初期アクセスを確立した後、ネットワーク内を横断してVMwareインフラストラクチャを乗っ取り、様々なバックドアやウェブシェルを展開しました。これにより、攻撃者は持続的なアクセスを維持し、認証情報を収集することが可能となりました。
この攻撃の特徴的な側面は、攻撃者が自らのVMを作成し、それを通じて悪意のある活動を隠蔽することで、集中管理インターフェースであるvCenterからの検出を回避した点にあります。これは、セキュリティチームが標準的な管理プロセスやセキュリティポリシーに従わないVMの存在をGUIを通じて容易には発見できないという事実を利用したものです。そのため、特別なツールや技術がこれらの悪意のあるVMを特定し、関連するリスクを軽減するために必要とされます。
この攻撃は、サイバーセキュリティの分野において、攻撃者がどのようにして検出を回避し、長期間にわたってシステム内に潜伏することが可能であるかを示しています。また、組織が自身のセキュリティ対策を見直し、特に仮想化環境におけるセキュリティ対策の強化を図る必要性を浮き彫りにしています。セキュアブートの有効化や、特別なスクリプトを用いた潜在的な脅威の特定と軽減など、攻撃者の巧妙な手法に対抗するための対策が提案されています。
このような攻撃は、サイバーセキュリティの規制やポリシーにも影響を与える可能性があります。組織は、攻撃者が利用する可能性のある新たな脆弱性や手法に対して、常に警戒し、適応する必要があります。また、将来的には、攻撃者が使用する技術の進化に伴い、セキュリティ対策も進化し続ける必要があることを示唆しています。ポジティブな側面としては、このような攻撃が明らかになることで、セキュリティコミュニティ全体が学び、より強固な防御策を構築する機会を得ることができます。しかし、潜在的なリスクとしては、攻撃者が常に新しい手法を開発しているため、セキュリティ対策が追いつかない可能性があることです。
from Hackers Created Rogue VMs to Evade Detection in Recent MITRE Cyber Attack.
