MITRE が公表した 2024年1月の攻撃：不正な VMS を用いて検知を回避

MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection

2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究／試作ネットワークの１つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。

MITRE Corporation によると、2024年1月に、中国の国家に支援される脅威アクター UNC5221 が、Ivanti Connect Secure の２つのゼロデイ脆弱性を連鎖させて、同社のシステムに侵入したという。

MITRE が特定した国外の脅威アクターは、研究およびプロトタイピングに使用されている、同社の NERVE (Networked Experimentation, Research, and Virtualization Environment) を探索していた。

直ちに MITRE は、NERVE をオフラインにするなどの緩和措置を開始したが、関連する情報の範囲を特定するため、現在でも調査は継続中である。同組織は、当局と影響を受ける関係者に通知し、共同作業のための運用代替手段の回復に努めている。

MITRE は、業界のベストプラクティスに適正に従い、ベンダーの勧告を実施し、政府のガイダンスに従って、Ivanti システムを強化／更新／強化していた。しかし、VMware インフラへの横の動きを見落としていたという。

同組織によると、中核となる企業ネットワークやパートナーのシステムは、このインシデントによる影響を受けていないという。

アップデートされた情報によると、脅威者は、Ivanti Connect Secure (ICS) のゼロデイ欠陥を悪用し、組織の VMware 環境内に不正な仮想マシン (VM：virtual machine) を作成していたという。

MITRE のアップデートには、 「攻撃者は、侵害した vCenter Server へのアクセスを利用して、VMware 環境内において、独自の不正な VM を作成していた。彼らは、vCenter Server の Tomcat サーバの下に JSP ウェブシェル (BEEFLUSH) を作成／配置し、Python ベースのトンネリング・ツールを実行することで、自身が作成した VM と ESXi hypervisor インフラ間の SSH 接続を容易にしていた。攻撃者は、不正な VM を展開することで、vCenter のような集中管理インターフェイスから活動を隠し、検知の回避を達成していた。それにより、発見されるリスクを最小限に抑えながら、侵害したシステムの制御を維持していた」と詳述されている。

2024年1月7日の時点で、攻撃者は VM にアクセスし、BRICKSTORM バックドアや BEEFLUSH として追跡される Web シェルなどを取り込んだ、悪意のペイロードを展開し、永続的なアクセスの獲得と任意のコマンド実行を行っていた。

攻撃者は、侵害したシステムの制御を維持するために、SSH 操作とスクリプトの実行に依存していた。MITRE は、攻撃者がデフォルトの VMware アカウントを悪用してドライブをリストアップし、新しい VM を生成していたことを指摘している。BRICKSTORM は、ローカルの永続性設定を持つディレクトリで発見され、指定された C2 ドメインと通信していた。BEEFLUSH は内部 IP アドレスと通信を行い、vCenter サーバの /”tmp” ディレクトリから、怪しげなスクリプトやコマンドを実行した。

その後の数日間にわたって、WIREFIRE (別名：GIFTEDVISITOR) Web シェルや、データ流出のための BUSHWALK Web シェルを含む、追加のペイロードがターゲットのインフラ上に展開されていった。

さらに攻撃者は、VMware のデフォルト・アカウントである VPXUSER を悪用し、ドライブを列挙するための API コールを行った。彼らは、hypervisor 上に不正な VM を直接デプロイし、SFTP を使用してファイルを書き込み、”/bin/vmx” で実行することで検知を回避した。これらの操作は、センターと ESXi の Web インターフェイスからは見えないようになっていた。不正な VM には、BRICKSTORM のバックドアと永続化メカニズムが取り込まれており、インターネット C2 とコア管理サブネットの両方と通信するために、デュアル・ネットワーク・インターフェイスで構成されていた。

今回のアップデートで MITRE は、「ユーザーが hypervisor の管理インターフェイスを使用して、VM を管理するだけでは不十分な場合が多く、不正な VM への対処に関しては、無意味な場合がある。なぜなら、不正な VM は標準的な管理プロセスの外側で動作し、確立されたセキュリティ・ポリシーを遵守しないため、GUI だけでは検出や管理が困難だからだ。その代わりに、不正な VM に関連するリスクを効果的に特定し、軽減するための特別なツールやテクニックが必要となる」と述べている。

MITRE は、「攻撃者が戦術やテクニックを進化させ続ける中で、サイバー脅威から身を守るために、組織として警戒と適応力を維持することが不可欠になる。私たちは、攻撃者の新たな行動を理解し対抗することで、防御を強化し、将来に起こり得る侵入から、重要な資産を守ることができる」と締め括っている。

MITRE への侵害の件ですが、文中の「不正な VM は標準的な管理プロセスの外側で動作し、確立されたセキュリティ・ポリシーを遵守しない」という部分が怖いですね。脅威アクターたちは、次から次へと新たな戦術を展開きます。それらに備えるためにも、この MITRE の情報公開は有り難いです。よろしければ、2024/05/07 の「MITRE への侵害：中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する」も、ご参照ください。こちらの記事では、Ivanti Connect Secure のゼロデイ脆弱性 CVE-2023-46805／CVE-2024-21887 の連鎖が、イニシャル・ベクターだったと指摘されていました。