中国のサイバー・スパイ UNC3886:VMware ESXi のゼロデイを悪用して特権を得ている

Chinese Cyberspies Caught Exploiting VMware ESXi Zero-Day

2023/06/13 SecurityWeek — UNC3886 として追跡されている中国のサイバー・スパイ・グループが、VMware ESXi のゼロデイ脆弱性を悪用して、ゲスト仮想マシンの特権を昇格させることが確認されていると、Mandiant が警告している。 2022年9月に詳細が判明した UNC3886 は、悪意の vSphere Installation Bundles (VIB) を用いて、ESXi ハイパーバイザーにバックドアをインストールし、コマンド実行/ファイル操作/リバースシェルなどの機能を獲得してきた。このグループの悪意のアクティビティは、VMware ESXi Host/vCenter Server/Windows Virtual Machine に影響を与えることになる。


最近の UNC3886 の攻撃では、vCenter Server から接続されている、すべての ESXi ホストの認証情報の取得/VMCI ソケットを介したバックドア展開/横方向の移動と持続性をなど実現し、侵害したシステム上でロギング・サービスを変更/無効化することが確認されている。

さらに、このグループは、VMware Tools のゼロデイ脆弱性を悪用することで、Windows/Linux/PhotonOS (vCenter) のゲスト VM 全体で認証をバイパスし、特権コマンドを実行している。

この脆弱性 CVE-2023-20867 を悪用する攻撃者は、ESX iサーバへの root アクセスを持つ必要があるため、”low severity” と評価されている。

VMware はアドバイザリで、「完全に侵害された ESXi ホストは、VMware Tools による host-to-guest 操作の認証を失敗させるため、ゲスト仮想マシンの機密性/完全性に影響が生じる可能性がある。VMware Tools のバージョン 12.2.5 では、この欠陥は修正されている」と説明している。

Mandiant によると、UNC3886 は、接続された vPostgreSQL データベースを介して侵害した vCenter サーバから認証情報を採取し、すべての ESXi ホスト/ゲスト VM を列挙し、接続された全 ESXi ホストの許可 IP リストを変更するための、スクリプトを使用していたようだとのことだ。

また、サイバー・スパイたちは、インストール・スクリプトを介して悪意の VIB をホストに展開し、CVE-2023-20867 を悪用することで、認証を必要とぜすに、また、痕跡を残すことなく、侵害した ESXi ホストからゲスト VM へ向けた、コマンド実行とファイル転送を行っていたようだ。

Mandiant は、「さらに、脆弱性 CVE-2023-20867 を悪用することで、ESXi ホストからコマンドが実行されたときに、ゲスト VM 上で認証ログイベントが生成されない」と説明している。

また、サイバー・セキュリティ企業は、このグループが横方向の移動と持続性のために、VMCI ソケットを用いて2つのバックドア (VirtualPita と VirtualGate) を展開することを確認している。

このマルウェアは、新たなレベルの永続性 (感染させた ESXi ホストへのアクセスは、VM にアクセスすることで回復する) を攻撃者に提供し、ネットワーク・セグメンテーションのバイパスや、オープン・リスニング・ポートに対するセキュリティ・レビューの回避も可能にしている。

脆弱性 CVE-2023-20867 と悪用した ESXi ホストへの再アクセスにより、対象となる ESXi ホストの下で稼働する全ての仮想マシンにおいて、攻撃者は最高権限のアカウントを持ち、認証されないアクションを実行できる」と Mandiant は指摘している。

さらに同社は、「ESXi ホストの下に仮想マシンとして vCenter が存在する場合において、攻撃者は、vCenter に接続されている全 ESXi ホストの、すべての接続 vpxuser 資格情報を収穫するために移動し、環境全体で横方向にピボットし続けることが可能となる」と付け加えている。

UNC3886 は、米国および APAC の防衛/技術/通信などの組織を標的とする攻撃で、ファイアウォールおよび仮想化ソリューションの、ゼロデイ脆弱性を悪用することで知られている。

UNC3886 による VMware 攻撃について調べてみたところ、2022/09/30 の「VMware ESXi を侵害する危険な攻撃:VIB 署名レベルの弱点をつく高度な手法」が見つかりました。悪意の vSphere Installation Bundles (VIB) を用いて、標的システムにマルウェアを忍び込ませていると、記されています。また、UNC3886 は、2023/03/16 の「Fortinet のゼロデイ悪用:ハッキングの背景に存在する中国系ハッカー集団とは?」にも登場しています。