Scattered Spiderランサムウェア攻撃
高度で攻撃的なサイバー犯罪グループ「Scattered Spider」が、VMware ESXiハイパーバイザーへの攻撃を強化しています。北米の小売、航空会社、運輸といった主要セクターを標的とする同グループの活動は、綿密に計画され、綿密に計画され、壊滅的な効果を上げています。彼らの成功の鍵は、ソフトウェアの脆弱性ではなく、ソーシャルエンジニアリングと信頼されたシステムの操作を巧みに操ることにあります。
目次
エクスプロイトを使わない戦術:ソーシャルエンジニアリングを核に
Scattered Spiderは、ソフトウェアの脆弱性を悪用するのではなく、実績のある戦術、つまり電話を使ったソーシャルエンジニアリングに頼っています。彼らはしばしばITヘルプデスクに連絡し、高権限を持つ管理者を含む正当な担当者になりすまします。これらの電話は、より広範なキャンペーン戦略の一環であり、彼らの攻撃はランダムとは程遠いものです。彼らは組織内で最も機密性の高いシステムとデータを標的とするために、綿密に作戦を計画します。
Scattered Spiderの攻撃者は、標的のインフラストラクチャやログインポータルを模倣した偽のドメインを登録することで知られています。一般的な命名パターンには以下が含まれます。
- 被害者名-sso.com
- 被害者名-okta.com
- 被害者名-servicedesk.com
- sso-victimname.com
- servicenow-victimname.com
ヘルプデスクからハイパーバイザーまで:多段階の攻撃チェーン
Scattered Spider の攻撃手法は、アクセスをエスカレートし、検出を最小限に抑えるように設計された 5 つの戦略的フェーズを通じて展開されます。
初期アクセスと権限昇格
攻撃者はまずソーシャルエンジニアリングから始め、従業員になりすまし、認証情報を入手し、社内文書を収集します。多くの場合、HashiCorp Vaultなどのパスワードマネージャーからデータを抽出し、ITサポートプロセスを悪用して管理者のパスワードをリセットします。
vSphere への横方向の移動
VMware環境にマッピングされたActive Directoryの認証情報を利用して、vCenter Server Appliance(vCSA)にアクセスします。Teleportと呼ばれるツールを導入することで、暗号化されたリバースシェルが作成され、ファイアウォールルールを回避して永続的なアクセスを確立します。
ハイパーバイザー操作とデータ抽出
ESXiホストでSSHが有効になり、ルートパスワードがリセットされ、「ディスクスワップ」攻撃が実行されます。この攻撃では、ドメインコントローラVMのシャットダウン、仮想ディスクのデタッチ、攻撃者が制御するVMへのアタッチ、そしてNTDS.ditデータベースの抽出が行われ、その後、元のプロセスが実行されます。
回復メカニズムの無効化
バックアップ ジョブ、スナップショット、リポジトリは削除され、回復オプションが排除され、攻撃の影響が拡大されます。
ランサムウェアの展開
カスタム ランサムウェア バイナリは、SCP または SFTP 経由で侵害された ESXi ホストにプッシュされ、仮想環境全体の重要なシステムを暗号化します。
散在する蜘蛛のスピードとステルス
0ktapus、Muddled Libra、Octo Tempest、UNC3944などの別名でも知られるScattered Spiderが従来のランサムウェア攻撃者と一線を画すのは、その攻撃のスピードとステルス性です。専門家によると、最初のアクセスからランサムウェアの展開まで、攻撃全体がわずか数時間で完了することもあります。中には、48時間以内に100GBを超えるデータが盗み出されたケースもあります。このグループはDragonForceランサムウェアプログラムとの関連性も指摘されており、その能力をさらに強化しています。
防御戦略の転換:EDRからインフラ中心のセキュリティへ
これらの攻撃の性質上、標準的なエンドポイント検知・対応(EDR)ツールでは不十分な場合があります。Scattered Spiderへの対策には、包括的なインフラ中心のアプローチが必要です。以下の階層型防御戦略を強く推奨します。
レイヤー1: vSphereとハイパーバイザーの強化
- vSphereでロックダウンモードを有効にする
- execInstalledOnly を強制する
- VM暗号化を使用する
- 使用されていない、または古くなった仮想マシンを廃止します。
- なりすましの手口に対してヘルプデスクを保護し、トレーニングを実施します。
レイヤー2: アイデンティティとアクセス保護
- フィッシング耐性のある多要素認証 (MFA) を実装します。
- 重要な ID インフラストラクチャを分離します。
- 攻撃者が悪用する可能性のある循環的な認証依存関係を回避します。
レイヤー3: 監視とバックアップの分離
- 主要なインフラストラクチャからのログ監視を集中化します。
- バックアップを Active Directory アクセスから分離します。
結論:ランサムウェアリスクの新時代
vSphereエコシステム、特にESXiホストとvCenter Serverを標的とするランサムウェアは、迅速かつ大規模な混乱を引き起こす可能性があるため、深刻な脅威となります。Scattered Spiderの巧妙な攻撃は、組織が防御体制を見直す必要性を浮き彫りにしています。これらのリスクを無視したり、推奨される対策の導入を遅らせたりすると、深刻なダウンタイム、データ損失、経済的損害など、壊滅的な結果につながる可能性があります。
