仮想環境を狙うマルウェア「BRICKSTORM」 - 中国政府系攻撃者が悪用
中国政府が支援していると見られる攻撃グループが、高度な機能を備えたマルウェア「BRICKSTORM」を悪用しているとし、米国とカナダの当局が共同で注意喚起を行った。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米国家安全保障局(NSA)、カナダサイバーセキュリティセンターが「BRICKSTORM」を分析。被害者のインシデント対応などで得た脅威情報「IoC(Indicators of Compromise)」を取りまとめ、深刻な影響をもたらすおそれもあるとして注意喚起を行った。
同マルウェアは、2024年4月以降、政府機関やITセクターなどを標的として攻撃が展開されていることが確認されているバックドア。
複数のサンプルが分析されており、機能や性能にばらつきが見られるものの、長期間にわたる潜伏が可能となるよう、高度な機能が実装されていたという。
具体的には、Windows環境やVMware vSphereなどの環境を侵害することを想定しており、「RDP」「SMB」経由でドメインコントローラーへ横展開していた。DMZに設置されたウェブサーバ経由で「vCenter」を侵害するケースも確認されている。
「vCenter」の管理コンソールを侵害し、仮想マシンのスナップショットを窃取して認証情報を抽出したり、不正な仮想マシンを作成していたと見られる。
(Security NEXT - 2025/12/05 )
ツイート
PR
関連記事
Samsung製端末、ゼロデイ攻撃の標的に - 商用レベルスパイウェアを悪用か
韓国関連グループの標的型攻撃が継続 - GitHub悪用でマルウェア展開
「Ivanti EPMM」狙う脆弱性連鎖攻撃、米当局がマルウェアを解析
Ivanti製品狙う「RESURGE」、米当局が検知や復旧方法を公開
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か
「出前館」が3日間にわたりサービス停止 - マルウェア感染で
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
