Scattered Spiderは以前から活動が観測されている脅威アクターです。
2023年の時点では例えばBYOVDで話題になっていました。
BYOVDは、Bring Your Own Vulnerable Driverです。
Scattered Spiderにはいろいろな別名がつけられて、いくつものセキュリティ研究者に追跡されています。
UNC3944、Octo Tempest、0ktapusなどとも呼ばれています。
そんなScattered Spiderですが、現在も活動が継続しています。
Scattered Spiderの現在確認されている内容を見てみましょう。
- ソフトウェアの脆弱性を悪用せず、人の脆弱性を悪用する
Scattered Spiderは、ソフトウェアの脆弱性を悪用せず、人の脆弱性を悪用します。
最近の攻撃でのソフトウェアのターゲットはVMware ESXiハイパーバイザーです。
このソフトウェアには多くの脆弱性がありますが、Scattered Spiderはそこは悪用しません。
入口はソーシャルエンジニアリングです。
ITヘルプデスクに電話をかける際に従業員になりすますことで攻撃を開始します。
そして、攻撃者の目的は、エージェントに従業員のActive Directoryパスワードを変更させ、初期アクセスを取得することです。
獲得した認証情報を使って、脅威アクターはターゲット環境を調査します。
ネットワークデバイス、ドメイン、VMware vSphere管理者の名前などを収集します。
そして再度電話をかけて、今度は特権ユーザーになりすましてパスワードのリセットを要求し、特権アカウントを乗っ取ります。
これが第1段階です。 - 第2段階:vCenterの侵害
次は活動場所をvCenterに移します。
ログインできる状態に持ち込むと、GRUBブートローダーを編集してパスワード不要のルートアクセスを実現します。
それにとどまらず、ルートパスワードを変更し、再起動時にSSHアクセスを有効にします。
そしてTeleportを設置し、C2アクセスに利用できるリバースシェル環境を構築します。 - 第3段階:ハイパーバイザーの侵害
次はハイパーバイザーに移動します。
すでにvCenterを掌握してしまっていますので、ハイパーバイザーの侵害も実施可能です。
ハイパーバイザー上のSSHを有効化し、ルートパスワードを変更します。
そしてディスクスワップ攻撃を実施し、環境のActive Directoryデータベースを盗みます。
盗んだ情報は設置済みのTeleportで持ち出します。 - 第4段階:回復の妨害
次は環境の安全対策を無効化します。
バックアップサーバに侵入し、バックアップジョブ、スナップショット、リポジトリを削除します。 - 第5段階:ランサムウェアの展開
いよいよ準備が整いました。
脅威アクターはランサムウェアを展開します。
vCenterからすべてのハイパーバイザーのすべてのVMに対し操作を開始します。
強制的にパワーオフし、VMを構成するファイル群を暗号化します。
これらの攻撃行為は多段階で展開されていますが、第5段階に達するまでにそんなに長い時間は必要としません。
数時間程度で完了してしまうことが観測されています。
ソフトウェアの脆弱性を悪用しなくても、脅威アクターが仮想化環境全体に対する前例のないレベルの制御を獲得し、多くの従来のゲスト内セキュリティ制御を回避できることを示す例となってしまっています。
日々、システムを妥当化するパッチケイデンスの維持は重要な活動です。
しかしそれだけでは十分ではありません。
多要素認証を利用することでフィッシングに対する耐性をあげる、使用を終了したVMを破棄するなど日々の管理を徹底する、ログを一元管理することで管理者グループの変更やvCenterへのログインやSSHの有効化といった重要な動作について把握できるようにしておく、などの活動も必要です。
セキュリティの領域では、残念ながらこれをやっておけば大丈夫というような銀の弾丸はありません。
From Help Desk to Hypervisor: Defending Your VMware vSphere Estate from UNC3944
https://cloud.google.com/blog/topics/threat-intelligence/defending-vsphere-from-unc3944?hl=en
| この記事をシェア |
|
|---|
表紙.png)
