注目度低いVMware ESXiの脆弱性を悪用するランサムウェア攻撃者に注意

画像提供：マイナビニュース

Cisco Talos Intelligence Groupは8月28日(米国時間)、「BlackByte blends tried-and-true tradecraft with newly disclosed vulnerabilities to support ongoing attacks」において、ランサムウェアグループ「BlackByte」による最新のサイバー攻撃に関する調査結果を伝えた。以前は既知の脆弱性を悪用して初期アクセスを獲得していたが、最近はVPN(Virtual Private Network)への不正アクセスが確認されたという。

○脆弱性の対応速度

Cisco Talosによると、「BlackByte」は最近、初期アクセス獲得後にVMware ESXiの脆弱性「CVE-2024-37085」を悪用したという。この脆弱性を悪用すると、特定のActive DirectoryグループのメンバーにVMware ESXiホストに対する昇格された権限が付与可能で、仮想マシンの制御、ホストサーバの構成の変更、システムログ、診断、パフォーマンス監視ツールへのアクセスが可能になるとされる。

当初、この脆弱性はセキュリティコミュニティから注目されていなかった。しかしながら、BlackByteは公開から数日以内に攻撃に組み込んだとされる。これはBlackByteの脆弱性に対する理解力の高さと、攻撃に組み込む技術力の高さを示している。
○新しい活動

Cisco Talosは、「BlackByte」の活動の過去と最近の違いとして、以下を挙げている。

暗号化したファイルに拡張子「blackbytent_h」を使用する
この拡張子を使用する新しい暗号化ツールはBYOVD(Bring Your Own Vulnerable Driver)として4つの脆弱なドライバーを展開する。過去の事例では最大3つまで確認されている
ランサムウェアバイナリーに被害者に関連した特定のアカウント情報が埋め込まれている可能性がある。これはワーム機能を実現するために、標的に特化したバイナリーを生成している可能性を示している
初期段階でIP アドレス「204.79.197[.]219」を介して「msdl.microsoft[.]com」と通信する
レジストリを操作してWindows Defenderを無効にする
システムフォルダ「C:\Windows\System32」からタスクマネージャー、パフォーマンスモニター、シャットダウンコマンド、リソースモニターを削除する