始まってしまったRocketKittenの活動

ほぼこもセキュリティニュース By Terilogy Worx

RocketKittenはAPTグループの一つです。
APT35とも呼ばれ、イランとの関連が考えられているハッキンググループです。
彼らの最近の活動で、VMwareの脆弱性の悪用が確認されています。

その脆弱性は、CVE-2022-22954です。
CVE-2022-22954は、VMwareの認証部分の機能提供するsoftwareで確認されている問題です。
これにより、リモートからの任意のコードの実行が実現してしまいます。
今回の脆弱性の悪用では、CVE-2022-22954は初期アクセスの取得に使われています。
こんな流れです。

  • 認証機構でPowerShellコマンドを実行する
    いきなりここから始まります。
    脆弱性の悪用によって、いきなりリモートでのコード実行が開始されます。
  • ステージャーが動作する
    持ってこられて動作を開始したPowerShellコマンドはステージャーです。
    ステージャーはC2からローダーを持ってきます。
    C2から転送されるこのバイナリは高度に難読化されています。
    この転送の段階で悪意あるものと判定して中断することは容易ではないと考えられます。
  • ローダーがマルウェアを配置する
    ローダーはマルウェアをメモリに配置します。
    配置されるマルウェアはCoreImpactエージェントです。
    CoreImpactそのものは普通に使う場合には正当な侵入テストツールなのですが、それがマルウェアとして使用されます。
    このCoreImpactエージェントは、リバースHTTPSバックドアとして動作します。
    また今回のマルウェアは横方向の動きも実装されているようです。

マルウェアの全体的な実装や実現の方法から推測すると、従来のアンチウイルスのアプローチでの対策は容易ではなさそうです。
そういった意味で、この問題も始まってしまったら途中で阻止することが困難なタイプのものであると考えられます。

この脆弱性に対応するための修正版はすでに公開されています。
この修正版は賢明な組織ではすでに適用が完了していることでしょう。
しかし未適用の環境はまだまだあるということです。
堅実な運用によって100%の安全が手に入るかというとそうではないでしょう。
しかし、問題を小さくすることは確実に実現できると考えられます。
この脆弱性に限った話ではないですね。

参考記事(外部リンク):Hackers exploit critical VMware RCE flaw to install backdoors
www.bleepingcomputer.com/news/security/hackers-exploit-critical-vmware-rce-flaw-to-install-backdoors/