VMware

UNC3886として追跡されている中国の脅威行為者と思われる人物は、「Reptile」および「Medusa」と名付けられた一般に公開されているオープンソースのルートキットを使用して、VMware ESXi仮想マシン上に潜伏し、クレデンシャルの窃取、コマンドの実行、および横方向の移動を行います。

Mandiantは、以前からこの脅威を追跡しており、Fortinetのゼロデイ 脆弱性と2つのVMwareのゼロデイ脆弱性を長期間悪用した政府機関への攻撃を報告しています。

Mandiantの新しいレポートでは、UNC3886が長期的な持続性と回避のために仮想マシン上で前述のルートキットを使用していたこと、さらにGitHubやGoogle Driveをコマンド&コントロールに活用した「Mopsled」や「Riflespine」といったカスタムマルウェアツールを使用していたことが明らかにされています。

Mandiantによると、UNC3886による直近の攻撃は、北米、東南アジア、オセアニアの組織を標的としており、ヨーロッパ、アフリカ、アジアのその他の地域でも被害が確認されている。

標的となった業種は、政府、通信、テクノロジー、航空宇宙、防衛、エネルギー・公共事業などです。

VMware ESXi VMをルートキッティング

Mandiant社によると、脅威者はVMware ESXi VMに侵入し、オープンソースのルートキットをインストールすることで、長期的な運用のためのアクセスを維持します。

ルートキットとは、脅威者がプログラムを実行したり、オペレーティングシステム上のユーザーには表示できないような変更を加えたりできるようにする悪意のあるソフトウェアのことです。この種のマルウェアにより、脅威者は悪意のある行動を取りながら、その存在を隠すことができます。

「ゼロデイ脆弱性を悪用してvCenterサーバにアクセスし、その後ESXiサーバを管理した後、脅威者はvCenterサーバと同じESXiサーバを共有するゲスト仮想マシンを完全に制御できるようになりました。

「Mandiantは、この行為者がゲスト仮想マシン上でREPTILEとMEDUSAという2つの一般に公開されているルートキットを使用して、アクセスを維持し、検出を回避していることを確認しました。

Reptileは、ローダブルカーネルモジュール(LKM)として実装されたオープンソースのLinuxルートキットで、バックドアアクセスを提供し、ステルス性の持続を容易にするように設計されています。

Reptileの主なコンポーネントは以下の通り:

  1. ファイル、プロセス、ネットワーク接続を隠すためにカーネルモードコンポーネントと通信するユーザーモードコンポーネント(REPTILE.CMD)。
  2. リバースシェル・コンポーネント(REPTILE.SHELL)は、TCP、UDP、またはICMP経由でアクティブ化パケットをリッスンするように設定でき、リモート・コマンド実行のための隠しチャネルを提供します。
  3. ユーザーモードコンポーネントによってタスク化されたアクションを実行するために、カーネル関数にフックするカーネルレベルコンポーネント。

「REPTILEは、侵害されたエンドポイントにアクセスした直後に展開されることが確認されているため、UNC3886が選択したルートキットであると思われます。

「REPTILEは、コマンド実行やファイル転送機能などの一般的なバックドア機能だけでなく、脅威行為者がポートノッキングを介して感染したエンドポイントに回避的にアクセスし、制御することを可能にするステルス機能の両方を提供します。

UNC3886は、回避を支援するために、異なるデプロイメントに対して固有のキーワードを使用するようにルートキットを修正し、また、持続性とステルス性を高めることを目的として、ルートキットのランチャーとスタートアップスクリプトに変更を加えました。

脅威行為者が攻撃に展開する2つ目のオープンソースルートキットは、「LD_PRELOAD」による動的リンカーハイジャックで知られる「Medusa」です。

Medusaの機能的な焦点はクレデンシャル・ロギングであり、ローカルおよびリモートでのログイン成功からアカウント・パスワードをキャプチャします。また、コマンド実行のロギングも行い、攻撃者に被害者の活動に関する情報と侵害された環境に関する洞察を提供します。

Mandiantによると、Medusaは通常、「Seaelf」という名前の別のコンポーネントを使用して、補完的なツールとしてReptileの後に展開される。

UNC3886は特定のフィルタをオフにしたり、設定文字列を変更したりするなど、Medusaでもいくつかのカスタマイズが確認されています。

カスタムマルウェア

UNC3886は、カスタムマルウェアツールのコレクションを操作に使用していることも確認されており、そのうちのいくつかは今回初めて紹介する。

リストアップされた攻撃ツールの中で最も重要なものは以下のとおりです:

  • Mopsled – Shellcodeベースのモジュール型バックドアで、プラグインを取得して実行し、動的に機能を拡張できるように設計されている。vCenter サーバーや、Reptile と並んで侵入された他のエンドポイントで確認されている。
  • Riflespine – Google Drive をコマンド&コントロール(C2)に活用するクロスプラットフォームのバックドア。永続化のために systemd サービスを使用し、システム情報を収集し、C2 から受け取ったコマンドを実行します。
  • Lookover – 認証パケットを処理し、解読し、その内容をログに記録することで、TACACS+の認証情報をキャプチャするカスタムスニファ。TACACS+サーバーに配備され、攻撃者がネットワーク・アクセス範囲を拡大するのに役立ちます。
  • Backdoored SSH execs– UNC3886は、認証情報をキャプチャし、XOR暗号化されたログファイルに保存するために、SSHクライアントとデーモンの修正バージョンを展開しました。アップデートによる上書きを防ぐため、攻撃者は「yum-versionlock」を使用しています。
  • VMCI バックドア– ゲスト仮想マシンとホスト仮想マシン間の通信を促進するために、仮想マシン通信インターフェース(VMCI)を悪用するバックドアファミリー。VirtualShine」(VMCIソケットを介したbashシェルアクセス)、「VirtualPie」(ファイル転送、コマンド実行、リバースシェル)、「VirtualSphere」(コマンドを送信するコントローラ)が含まれる。

Mandiant社は、これらのVMCIバックドアに関する技術的な詳細を、今後の投稿で公開する予定だ。

UNC3886の活動を検出するための侵害の指標とYARAルールを含む完全なリストは、Mandiantのレポートの一番下にあります。