少し前に仮想化インフラであるVMwareESXiサーバーにPythonで書かれたランサムウェアによる攻撃が行われているとのソフォスのレポートを紹介しましたが、ソフォスはさらに、VMware vSphereの欠陥を悪用して侵入したPythonで記述されているランサムウェアの攻撃の詳細について明らかにしていますので改めて紹介したいと思います。
VMware vCenter Serverの脆弱性を悪用して侵入
VMware vSphereは、VMware社のクラウドコンピューティング仮想化プラットフォームで、仮想化をするためのハイパーバイザーであるESXiはVMware vSphereの構成要素の中の中心的な存在になります。ソフォスによると、攻撃者がターゲットのネットワークに最初に侵入したのは2021年4月中旬頃、その後、5月初旬頃から本格的な侵入が始まったということです。最初の侵入から本格的な侵入に至るまでに1カ月弱の間があったようです。
侵入の手口についてソフォスは、VMware vSphereの欠陥を悪用したとしています。BleepigComputerによるとこれはCVE-2021-21972として採番されているVMware vCenter Serverの脆弱性で、JPCERT/CCはこの脆弱性について2021年2月25日に注意喚起を発していて、「この脆弱性が悪用された場合、遠隔の第三者が任意のファイルをアップロードしたり、SYSTEM権限で任意のコマンドを実行したりするなどの可能性があります」としています。
ソフォスによると、攻撃者はネットワークに侵入すると、最初の数カ月間は水平移動と偵察を行い、リモートデスクトッププロトコル(RDP)、NMAPネットワークスキャナー、アドバンスドポートスキャナー、SSHトンネリングツールを使用して、ターゲットのサーバーとインタラクティブに接続できる環境を確立しました。また、Mimikatzを使用してアカウントの認証情報を取得し、その後の攻撃に利用していたということです。
ファイルをパスワードで保護されたアーカイブにコピー
その後、10月23日にPythonで記述されているランサムウェアであるMementoを展開しました。そして、ファイルを暗号化しようとしましたが、ターゲットのセキュリティソル―ションによって暗号化が阻止されたということです。すると攻撃者は、無料版のWinRARを使用し、暗号化が阻止されたファイルをパスワードで保護されたアーカイブにコピーした後、パスワードを暗号化し、元のファイルを削除。そのうえで攻撃者はファイルを復元するためにビットコインで100万ドルの身代金を請求してきたということです。
また、このターゲットに対しては、Mementoによる攻撃以外に別の複数の攻撃者からも攻撃が行われており、5月18日にXMRクリプトマイナーがインストールされたほか、9月8日と10月3日にはXMRigクリプトマイナーがインストールされたということです。これら攻撃者はいずれも同じ脆弱性からエクスプロイトを使用して侵入していたということで、ソフォスは「パッチが適用されていないままインターネットに接続しているサーバーが1台でもあると、複数の攻撃者に侵入されて被害が拡大する」と指摘しています。
ソフォスは、脆弱性に対するパッチを適用しないことの危険性を改めて説く一方、「残念ながら、小規模な組織では、新しい脆弱性パッチを把握するために必要なスタッフの専門知識や時間が不足していることがよくある」とし、また、「多くの組織は、サードパーティのインテグレータによってインストールされた可能性のあるソフトウェアプラットフォームに関連するリスクの程度を認識していない」としていて、脆弱性への対応が行われないまま放置されている実態があることを指摘しています。
■出典・参考