UNC3944 Attacking VMware vSphere and Enabling SSH on ESXi Hosts to Reset ‘root’ Passwords
2025/07/24 CyberSecurityNews — UNC3944 という金銭目的の脅威組織について確認されたのは、小売/航空/保険などの業界の VMware vSphere 環境を標的とする高度なサイバー・キャンペーンの展開と、”0ktapus”/”Octo Tempest”/”Scattered Spider” との関連性である。この攻撃者が採用する手口は、ソーシャル・エンジニアリングとハイパーバイザー・レベルへの攻撃の併用であるという。米国の小売業界に対する攻撃が激化しているという FBI の警告を受けて、2025年半ばに Google Threat Intelligence Group (GITG) が、このキャンペーンを分析/特定した。
この脅威アクターは、セキュリティ・ツールによる可視性が制限される、ハイパーバイザー・レベルをダイレクトに操作し、従来型の EDR (Endpoint Detection and Response) ソリューションを回避している。このグループは、ホスト上の正規ツールを悪用する LoTL (Living Off The Land) 戦術により、不正行為の痕跡を最小限に抑えている。
要約
- この攻撃者は、IT ヘルプ・デスクへの偽装電話により、Active Directory パスワードをリセットさせ、
net.exeコマンドを用いて vSphere 管理者グループへ向けた権限昇格を図る。 - vCenter に侵入した後に、GRUB (GNU GRand Unified Bootloader) を改変し、root アクセス権を取得した上で、”Teleport” リバースシェルを導入する。
- ランサムウェアの展開前に、仮想マシンをシャットダウンし、”.vmdk” ファイルを切り離すことで、”NTDS.dit” をオフラインで抽出する。
UNC3944 のソーシャル・エンジニアリング攻撃チェーン
UNC3944 による攻撃は、IT ヘルプ・デスクに対する巧妙な電話型ソーシャル・エンジニアリングから開始される。Mandiant の報告によると、この攻撃者は、過去のデータ侵害により流出した個人情報を悪用して、標的企業の従業員になりすまし、ヘルプ・デスク担当者が Active Directory (AD) パスワードをリセットするように誘導していく。
こうして侵入を達成した攻撃者は、SharePoint サイトやネットワーク・ドライブを偵察し、特権グループに関する情報を取り込む IT ドキュメントである、”vSphere Admins” や “ESX Admins” などを探索する。
さらに攻撃者は、Windows Remote Management (WinRM) 機能を用いて、以下のような “net.exe” コマンドを実行し、侵害したアカウントを特権グループに追加する。
pgsqlCopyEditnet.exe group "ESX Admins" ACME-CORP\temp-adm-bkdr /add
ただし、このような挙動に対してセキュリティ・チームは、AD イベント ID 4728 (member added to security-enabled global group) を監視し、”wsmprovhost.exe” プロセスとの関連性を特定することで、不審な権限昇格を検出できる。
vCenter へのアクセスを取得した攻撃者は、コンソール・アクセスを介して vCenter Server Appliance (VCSA) の再起動を実施し、GRUB ブートローダーの初期化パラメータを “init=/bin/bash” に書き換えることで、パスワードを必要としないルート・シェルを確立する。
続いて攻撃者は、正規の OSS リモート・アクセス・ツール Teleport を VCSA にインストールする。それにより、ファイアウォールの送信制御を回避する、暗号化されたリバース・シェルが確立される。
防御側にとって、重要な検出ポイントとして挙げられるのは、”vim.event.VmReconfiguredEvent” や “UserLoginSessionEvent” などの vCenterイベントへの監視と、VCSA からのリモート Syslog 転送による、SSH サービスの不正有効化への監視である。
さらにユーザー組織は、vCenter Server からの異常な DNS リクエストや、C2 通信の可能性がある不審なアウトバウンド接続にも、注意を払う必要がある。
仮想ディスク操作によるデータ窃取
一連の攻撃の中でも、最も深刻な侵害ステップは、仮想ディスク操作によるオフラインでの認証情報の窃取である。
UNC3944 は、Domain Controller VM を特定した後に、その VM の電源を切り、”.vmdk” 形式の仮想ディスクを切り離す。そして、この切り話されたディスクは、すでに侵害済の隔離用仮想マシンに接続される。
この手法により、ゲスト OS 上で動作する全てのセキュリティ対策を完全に回避しながら、Active Directory のデータベース (NTDS.dit) をオフラインで抽出することが可能となる。
この攻撃に対抗するには、Tier 0 資産に対して vSphere VM 暗号化を適用し、ESXi のロックダウン・モードを有効化し、署名のないバイナリの実行を制限するための、”execInstalledOnly” カーネル設定を適用する必要がある。
UNC3944 による、最終的なランサムウェア展開で採用されるのは、ネイティブの “vim-cmd” ツールを用いて VM をシャットダウンさせた上で、データストア内のファイルを暗号化するという手法である。したがって、ハイパーバイザー・レベルでの防御強化は不可欠となる。
また、セキュリティ・チームにとって必要なことは、vCenter イベント/ESXi の監査ログ/Active Directory の詳細ログを用いて、UNC3944 による準備段階の動きを、事前に検出する体制を構築することである。
この問題の原因は、人の信頼を悪用する巧妙なソーシャル・エンジニアリングと、vCenter のような基盤システムにおけるアクセス制御の脆弱さにあります。GRUB の改変や net.exe コマンドによる権限昇格といった、正規機能を悪用する LOLBin により、次々と攻撃を連鎖させていく仕組が巧妙です。ご利用のチームは、ご注意ください。よろしければ、カテゴリ LOLBin と、VMware vSphere で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.