CISAが中国系BrickStormのVMware vSphere侵害を警告 - SecureShield セキュリティニュースまとめ

Source:https://www.bleepingcomputer.com/news/security/cisa-warns-of-chinese-brickstorm-malware-attacks-on-vmware-servers/

🛡 概要

米CISAはNSA・カナダCyber Centreと共同で、中国系とされる攻撃者がBrickStormマルウェアでVMware vSphere環境（vCenter/ESXi）を狙う事案を警告した。解析した8検体はいずれも仮想化基盤に潜伏し、隠蔽された不正VMの作成やスナップショットの窃取を通じて認証情報と機密データを奪取。HTTPS/WebSocket/入れ子TLSやDNS-over-HTTPS（DoH）による多層暗号化通信、SOCKSプロキシで横展開を行い、停止時に自動で再導入・再起動する自己監視機能で永続化する。ある事案では2024年4月にDMZのWebサーバから侵入し、内部のvCenterに到達、さらにAD FSサーバから暗号鍵を持ち出し、少なくとも2024年4月〜2025年9月にかけてアクセスを維持していた。

本件はマルウェアのTTPに関する注意喚起であり、特定のCVE/CVSSが直接紐づく事案ではない（CVSS: 該当なし）。関連の検知用YARA/SigmaはCISAが公開している。

🔍 技術詳細

BrickStormは仮想化層を主戦場とする。初期侵入では公開Webアプリ（DMZ）の脆弱性悪用が観測され、その後、内部のVMware vCenterへ横移動して不正な仮想マシン（VM）を作成・登録し、ハイパーバイザ上で隠れ蓑を確保する。攻撃者はVMスナップショットやクローンを生成・窃取し、オフライン解析で資格情報や機密データを抽出する。通信面はHTTPSとWebSocketを基盤にしつつ、TLSを入れ子にして可視化を困難化、DNS解決をDoHへ切り替えてDNS監視を迂回する。さらにSOCKSプロキシ機能で踏み台化・トンネリングを行い、社内の管理プレーンやWindowsドメイン資産への到達を容易にする。永続化は自己監視型の再導入/再始動ロジックが担い、プロセスの介入・停止に対して復元する。Windows側ではドメインコントローラからのActive Directoryデータベースやバックアップの収集、AD FSトークン署名鍵のエクスポートが確認され、正規トークンの偽造や横展開に悪用され得る。これらの動きは仮想化基盤（vCenter/ESXi）のイベント・タスク操作と、暗号化C2トラフィックが併走する点が特徴である。

⚠ 影響

機密性: ADデータベースやスナップショットからの認証情報流出、AD FS鍵流出によるフェデレーション乗っ取り
完全性: vCenter経由での不正VM作成・設定改変、SAMLトークン偽造による権限濫用
可用性: 仮想基盤のリソース消耗、復旧に伴うシステム停止・再構築コスト
検知回避: DoH/入れ子TLS/WebSocket/プロキシでネットワーク監視の盲点を突く長期潜伏

🛠 対策

脅威ハンティング: CISA公開のYARA/SigmaでBrickStorm痕跡をスキャン。IOCに基づく網羅的サーチを定期実施
境界とEgress制御: 非承認DoHプロバイダへの通信をブロックし、DoH使用は組織管理下の解決器に限定。WebSocket外向き通信を最小化
ネットワークセグメンテーション: DMZ→内部の到達性を原則禁止。vCenter/ESXi管理プレーンは専用管理セグメント＋跳箱のみ
認証強化: vSphere/SSO・vCenter・AD管理者のMFA、最小権限ロール、緊急用アカウントの分離
可視化・監査: vCenterタスク（Create/Clone/Export/Snapshot/Register VM）へのリアルタイムアラート。スナップショット運用の承認制
鍵と資格情報の保護: AD FSトークン署名/暗号化証明書の保護、アクセス監査、流出懸念時のローテーションと信頼関係の再確立
パッチとハードニング: vCenter/ESXi/DMZ Webの最新化、不要サービス停止、管理UIの外部非公開、APIトークン・証明書の定期更新
バックアップ戦略: オフライン/イミュータブルバックアップ、多層リストア演習で仮想基盤の迅速復旧を担保

📌 SOC視点

VMwareログ: vCenter Events/vpxd.log/hostd.logのCreateVM_Task、RegisterVM_Task、CloneVM_Task、CreateSnapshot_Task、Export系イベントの異常頻度・時間帯・実行主体を相関
ファイル痕跡: データストア上の.vmsn/.vmdk差分の不審生成・転送量急増をストレージ/NetFlowで観測
ネットワーク: DoH（/dns-query等）やWebSocket Upgradeヘッダの外向き通信、未知の443宛トンネリング、SOCKS様ハンドシェイクをIDS/Proxyで検知・遮断
ID・AD監査: 重要グループ変更、特権ログオンの異常、バックアップ/ボリュームシャドウ関係ツールの不審実行、AD FS証明書/秘密鍵へのアクセス試行
相関・狩り: DMZから内部管理セグメントへの初見通信→直後のvCenterタスク増加→AD/AD FSへのアクセス増をKill Chainで時系列相関

📈 MITRE ATT&CK

Initial Access: Exploit Public-Facing Application（T1190）— DMZのWebサーバ侵害
Lateral Movement: Exploitation of Remote Services（T1210）— vCenter到達と展開
Credential Access: OS Credential Dumping（T1003）— ADデータベース取得
Credential Access: Unsecured Credentials: Private Keys（T1552.004）— AD FS鍵のエクスポート
Command and Control: Application Layer Protocol: Web Protocols（T1071.001）, DNS（T1071.004）— HTTPS/WebSocket/DoH
Command and Control: Encrypted Channel（T1573）— 入れ子TLS
Defense Evasion/Command and Control: Proxy（T1090）— SOCKSトンネリング
Exfiltration: Exfiltration Over C2 Channel（T1041）— 暗号化チャネル経由の流出
Persistence（TA0003）— 自己監視による再導入/再始動（実装詳細は非公開）

🏢 組織規模別助言

小規模（〜50名）: vCenter/ESXiの管理面は社外一切非公開。MFA導入と週次のvCenterタスク監査、未使用スナップショット廃止。外向きDoHは全面禁止
中規模（50〜500名）: 管理セグメント分離と跳箱必須化。CISAのYARA/Sigmaを定期実行。AD FS鍵の格納・バックアップ手順を見直し、年1回の鍵ローテーション演習
大規模（500名〜）: EDR/NDRでWebSocket/DoHの可視化、SOARでvCenterイベントの自動相関。仮想基盤のゼロトラスト化（認可境界・JIT権限）、年2回のレッドチーム演習

🔎 類似事例

CrowdStrike: 2025年、Warp PandaによるvCenter標的攻撃でJunction/GuestConduitを観測
Google GTIG/Mandiant: 2024年にBrickStorm（UNC5221）を初出報告。UNC5221はIvantiゼロデイ悪用で知られる
関連CVE（参考・同種攻撃面の例）: VMware vCenter RCE（CVE-2021-21972, CVE-2021-22005）、ESXi OpenSLP（CVE-2021-21974）、Ivanti Connect Secure関連（CVE-2023-46805, CVE-2024-21887, CVE-2024-21893）