VMware ESXi の脆弱性 CVE-2024-37085:BlackByte ランサムウェアによる悪用を確認

BlackByte Ransomware group targets recently patched VMware ESXi flaw CVE-2024-37085

2024/08/27 SecurityAffairs — 先日にパッチが適用されたVMware ESXi の認証バイパスの脆弱性 CVE-2024-37085 (CVSS:6.8) を、BlackByte ランサムウェア・グループが悪用していることを、Cisco Talos が確認した。以前にも複数のランサムウェア・グループが、この脆弱性を悪用していることが確認されている。この7月末には Microsoft が、「複数のランサムウェア・オペレーターが VMware ESXi の脆弱性を悪用し、ドメイン結合された ESXi ハイパーバイザーの完全な管理者権限を取得している状況を、研究者たちが発見した」と警告を発している

最近の Talos IR による調査で判明したことは、AnyDesk のようなツールではなく、被害者の既存のリモート・アクセスを、BlackByte ランサムウェア・グループが悪用していることだ。専門家たちが確認している状況は、暗号化されたファイルへの “blackbytent_h” というファイル拡張子の追加および、4つの脆弱なドライバ・ファイルのドロップに加えて、被害者の Active Directory 認証情報を悪用して拡散する、新バージョンの暗号化ツールの使用である。

Talos によると、BlackByte の活動は非常に活発であり、同グループのリークサイトで情報が公開されているのは、成功した攻撃の 20~30%に過ぎないという。

BlackByte は RaaS (ransomware-as-a-service) を運営しており、専門家たちは、Conti ランサムウェア・ギャングと関連づけている。また、BlackByte は、遅くとも 2021年から活動しており、脆弱なドライバを悪用してセキュリティを回避し、ワームのような自己増殖能力を持つランサムウェアを展開し、正規のシステム・バイナリや商用ツールを活用する攻撃で知られている。このグループのランサムウェアは、Go/.NET/C++ などの言語の組み合わせで書かれたたものであり、そのバージョンは継続的に改良している。

さらに Talos IR は、攻撃者が VPN にログインするための有効な認証情報を悪用して、被害者の組織にイニシャル・アクセスしたことを確認している。この認証情報がブルートフォース攻撃により取得されたものなのか、以前に収集されたものなのかは不明だ。しかし Talos IRは、インターネット・スキャンによるブルートフォース認証が、イニシャル・アクセスの方法である可能性が高いと見ている。

ネットワークへの初期アクセスを獲得した BlackByte は、2つのドメイン管理者アカウントを侵害することで特権を昇格させていた。これらのアカウントのうち1つは、VMware vCenter サーバにアクセスした後に、VMware ESXi ホストを Active Directory ドメインに追加して ESX Admins グループを作成し、脆弱性 CVE-2024-37085 を悪用することで ESXi ホスト上で特権を昇格させる。そして、仮想マシンをコントロールし、重要なシステム機能にアクセスする。

この攻撃者は、認証に NT LAN Manager (NTLM) を使用し、ネットワーク内で横方向に移動する。さらに彼らは、非標準的なディレクトリから不審なバージョンの atieclxx.exe を実行している。それは、カスタムなデータ流出ツールである ExByte を、正当なファイルとして偽装する試みであることが示唆されている。

この攻撃者は、セキュリティ・ツールを改ざんし、EDR (Endpoint Detection and Response) システムをアンインストールし、ESXi ホストのルート・パスワードを変更している。そして、ファイルの暗号化を開始する直前には、ランサムウェアの自己増殖能力を示す NTLM 認証と SMB (Server Message Block) のアクティビティを増加させている。専門家たちは、BlackByte がカスタム・データ流出ツールである、ExByte を使用したと推測しているが、データ流出の有無および方法を特定することはできなかった。

BlackByte ransomware

Talos は、「BlackByte の暗号化ソフトの最新バージョンである、BlackByteNT のプログラミング言語が C# から Go へ、そして C/C++ へと進化しているのは、検知や解析に対する耐性を高めるための意図的な取り組みである。C/C++ のような複雑な言語は、高度なアンチ解析やアンチ・デバッグ技術を組み込むことが可能である。そのような傾向が、他のセキュリティ研究者による詳細な分析において、BlackByte のツール全体に観察されている。BlackByte 暗号化ソフトの自己増殖的な性質は、防御側にとってさらなる課題となる」とレポートを締め括っている。

Conti の流れをくむ BlackByte であれば、さまざまな侵害のノウハウを有しているはずです。そして、侵入の手口を隠すための処理も、怠りなく実施していると思われます。Talos が頑張って追跡していますが、現時点でイニシャル・アクセスの手法が明示されていないということは、難読化との戦いの最中ということなのでしょう。よろしければ、BlackByte で検索も、ご利用ください。