米国の非営利団体「MITRE」は5月23日(米国時間)、Mediumへの投稿「Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion|by Lex Crumpton|MITRE-Engenuity|May, 2024|Medium」において、MITREへの不正アクセス事案について調査結果や防衛策を公開した。MITREはサイバーセキュリティなどの分野で米国の政府機関などを支援する組織で、最高のサイバーセキュリティを維持していると評価されていた。

しかしながら2024年4月、MITREの研究、開発、プロトタイピング用ネットワーク「NERVE(Networked Experimentation, Research, and Virtualization Environment)」に不審な活動が検出された。MITREのセキュリティチームは直ちに調査を開始し、2024年4月19日に侵害の事実を公表している(参考:「MITRE Response to Cyber Attack in One of Its R&D Networks | MITRE」)。

  • Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion|by Lex Crumpton|MITRE-Engenuity|May、2024|Medium

    Infiltrating Defenses: Abusing VMware in MITRE’s Cyber Intrusion|by Lex Crumpton|MITRE-Engenuity|May, 2024|Medium

侵入経路

MITREによると初期の侵入経路は「Ivanti Connect Secure」に存在した2つのゼロデイの脆弱性(CVE-2023-46805およびCVE-2024-21887)とされる。攻撃者は2023年12月31日(米国時間)にこれら脆弱性を悪用してIvantiアプライアンスにWebシェル「ROOTROT」を展開し、MITREのNERVEに侵入した。攻撃者はこのアクセスポイントを利用することで多要素認証(MFA: Multi-Factor Authentication)を回避したとされる。

侵入に成功した攻撃者はセッションハイジャックとRDP over HTML5を使用してNERVE内のシステムへの接続を確立し、NERVE環境を偵察した。次に侵害したIvantiアプライアンスからVMware vCenter Serverと通信し、複数のESXiホストとの接続を確立した。その後、攻撃者はRDP経由でNERVE内の複数のアカウントをハイジャックし、ユーザーのブックマークやファイル共有に不正アクセスを行った。

さらに攻撃者は永続性を確保するため複数の仮想マシン(VM)を作成し、バックドア「BRICKSTORM」およびJSP(JavaServer Pages)のWebシェル「BEEFLUSH」を展開している。これらを使用すると、正規のネットワークトラフィックに紛れて秘密の通信チャネルを確立できるとされる。

影響と対策

MITREによると攻撃者はNERVEから情報を窃取したという。しかしながら、窃取された情報の詳細は公開していない。また、2月から3月にかけて他の仮想環境や企業ドメインコントローラーへの不正アクセスを試みたが、それらは失敗したとのこと。

MITREは同様の攻撃を検出して防御するために、次のような対策を推奨している。

不正な仮想マシンの検出

攻撃者は永続性を確保するために、不正な仮想マシンを作成している。この不正な仮想マシンはハイパーバイザー管理インタフェースからは隠されており、次のコマンドを使用して検出する必要がある。

  • vim-cmd vmsvc/getallvms
  • esxcli vm process list | grep Display

上記コマンドを実行し、それぞれの一覧を比較する。前者の出力にない仮想マシンが後者の出力に存在する場合は、未登録または不正な仮想マシンの可能性がある。

永続性の検出

攻撃者は不正な仮想マシンの永続性を確保するために、ハイパーバイザーの起動スクリプトを変更している。この修正は次のコマンドを使用して検出する。

  • grep -r \/bin\/vmx /etc/rc.local.d/
  • cat /etc/rc.local.d/local.sh

上記コマンドを実行し、「/bin/vmx」を使用して仮想マシンを起動するコマンドが挿入されていないか確認する。

MITREはVMware環境内の潜在的な脅威を検出するPowerShellスクリプト「Invoke-HiddenVMQuery」を「public-resources/nerve-incident at master · center-for-threat-informed-defense/public-resources · GitHub」にて公開している。また、CrowdStrikeは未登録の仮想マシンを検出するPowerShellスクリプト「VirtualGHOST」を「GitHub - CrowdStrike/VirtualGHOST: VirtualGHOST Detection Tool」にて公開している。

脅威アクターはサイバー攻撃の戦術やテクニックを進化させており、最高レベルのセキュリティと評価されていた組織への不正アクセスに成功している。これは常に最新の攻撃手法について情報収集し、防衛策を強化し続ける必要があることを示している。VMwareの仮想環境を運用している管理者には上記のスクリプトを活用し、不審な活動を定期的に検出して攻撃を防止することが推奨されている。