米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、中国のハッカーがVMware vSphereサーバにBrickstormマルウェアをバックドアしているとして、ネットワーク防御者に警告を発した。
CISAは、国家安全保障局(NSA)およびカナダのサイバー・セキュリティ・センターとの共同マルウェア分析レポートの中で、Brickstormマルウェアのサンプル8件を分析したと述べています。
これらのサンプルは、被害組織に属するネットワーク上で発見され、攻撃者は特にVMware vSphereサーバを標的として、検出を回避するために隠れた不正な仮想マシンを作成し、さらにクレデンシャルを盗むためにクローン化された仮想マシンのスナップショットを盗んでいました。
勧告にあるように、Brickstorm は HTTPS、WebSocket、ネストされた TLS などの複数の暗号化レイヤーを使用して通信チャネルを保護し、SOCKS プロキシを使用してトンネリングと侵害されたネットワーク内での横方向の移動を行い、DNS-over-HTTPS (DoH) を使用して隠蔽性を高めています。持続性を維持するために、Brickstormは、中断された場合に自動的にマルウェアを再インストールまたは再起動するセルフモニタリング機能も備えています。
CISAは、あるインシデントの調査中に、中国のハッカーが2024年4月に組織の非武装地帯(DMZ)にあるウェブサーバを侵害し、その後、社内のVMware vCenterサーバに移動してマルウェアを展開したことを発見しました。
攻撃者はまた、被害者のネットワーク上の2つのドメイン・コントローラをハッキングし、Active Directory Federation Services(ADFS)サーバを侵害した後、暗号鍵をエクスポートしました。Brickstormインプラントにより、彼らは少なくとも2024年4月から2025年9月まで、侵入されたシステムへのアクセスを維持することができました。
システムにアクセスした後、Active Directoryのデータベース情報を取得し、システムのバックアップを実行して、正規の認証情報やその他の機密データを盗むことも確認されています。
攻撃者がネットワーク上に存在することを検知し、潜在的な攻撃をブロックするために、CISA は、防衛側(特に重要なインフラストラクチャや政府機関で働く人々)に対して、機関が作成した YARA および Sigma ルールを使用してブリックストームのバックドア活動をスキャンし、不正な DNS-over-HTTPS プロバイダと外部トラフィックをブロックするよう助言しています。
また、すべてのネットワーク・エッジ・デバイスのインベントリを取得して不審な活動を監視し、ネットワークをセグメント化して非武装地帯から内部ネットワークへのトラフィックを制限する必要がある。
「CISA、NSA、およびCyber Centreは、このマルウェア分析レポートに記載されている侵害の指標(IOC)と検出シグネチャを使用して、BRICKSTORMマルウェアのサンプルを特定するよう組織に促しています。「BRICKSTORM、類似のマルウェア、または関連する可能性のある活動が検出された場合、CISAとNSAは、組織が法律と適用されるポリシーの要求に従って活動を報告するよう促します。
本日、サイバーセキュリティ企業のCrowdStrikeも、2025年を通して米国の法律、技術、製造企業のネットワーク上のVMware vCenterサーバを標的としたBrickstormマルウェア攻撃を、同社がWarp Pandaとして追跡している中国のハッキンググループと関連付けた。CrowdStrikeは、同じ脅威グループがVMware ESXi環境において、これまで知られていなかったJunctionおよびGuestConduitマルウェアのインプラントを展開していることを確認しています。
今回の共同勧告は、9月に発表されたGoogle Threat Intelligence Group(GTIG)の報告書に続くもので、中国のハッカーと思われる人物がBrickstormマルウェア(2024年4月にGoogleの子会社であるMandiantによって初めて文書化された)を使用して、テクノロジーおよび法律分野の複数の米国組織のネットワーク上で長期的な持続性を獲得した方法について説明しています。
Googleのセキュリティ研究者は、これらの攻撃を、Ivantiのゼロデイを悪用してカスタムSpawnantおよびZiplineマルウェアで政府機関を標的にしたことで知られるUNC5221悪意ある活動クラスターに関連付けました。
.ia_ad { background-color:.ia_ad{背景色: #f0f6ff; width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments