BlackByteランサムウェア、最新の攻撃でVMware ESXiの脆弱性を悪用(CVE-2024-37085)
(情報源:The Hacker News、Cisco Talos)
BlackByteランサムウェアグループが最近の攻撃でVMware ESXiにおける認証バイパスの脆弱性CVE-2024-37085を悪用していたと、Cisco Talosが新たなブログ記事の中で報告。このほかにも、暗号化ツールの新たなバージョンが使われ始めたことや、リークサイトに追加される被害者数は実際に被害を受けた組織の20〜30%に過ぎないことなど、新たな調査結果が共有された。
BlackByteランサムウェアの概要
BlackByteについては、かねてより以下のような情報が知られていた:
- 初めて観測されたのは2021年の半ば。悪名高いランサムウェアグループContiが活動を停止したのち、いくつかのグループに枝分かれしたうちの1つがBlackByteだと考えられている。
- 同グループのランサムウェアにはいくつか亜種があり、C言語版、.NET版、Go版、C/C++版などが観測されている。
- RaaSグループで、他グループと同様に二重恐喝を採用。データ窃取を行ってリークサイトに被害者を掲載し、金銭を支払うよう圧力をかける。データを抜き取る際には、「ExByte」というカスタムツールが使用される。
- 初期アクセスには長らく、Microsoft Exchange Serverの脆弱性ProxyShell (CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)が使われてきた。
- セキュリティ措置をバイパスするため、脆弱なドライバを使用する(BYOVD)ことで知られる。
- living-off-the-landツール(LoLBin)や、その他の正規の商用ツール(AnyDeskなど)を利用する。
初期アクセスにおける新傾向
Cisco Talosのチームが観測した最近の攻撃において、BlackByteランサムウェアグループは正規の認証情報を使用して被害組織のVPNへの初期アクセスを獲得していた。同チームが中程度の確度で評価したところによれば、BlackByteはブルートフォース攻撃を行ってこの認証情報を入手したものと思われるという。
研究者らは、BlackByteが長らくProxyShellなどの脆弱性を初期アクセス獲得の手段としてきたことを踏まえると、今回の攻撃におけるVPNの使用が意味するのは戦術がわずかに変更されたことか、あるいは日和見主義的な攻撃が行われたことのいずれかである可能性が考えられるとしている。
VMware ESXiの脆弱性CVE-2024-37085の悪用
CVE-2024-37085については、マイクロソフトが7月に複数のランサムウェア関連アクターによって悪用されている旨を共有していたが、TalosによってBlackByteもこれを悪用していたことが明らかになっている。この脆弱性は、悪用に成功すれば特定のActive Directoryグループ内のメンバーにESXiホスト上での管理者権限を付与できるようになるもの。BlackByteはこれを実現するため、「ESX Admins」というActive Directoryグループを作成し、ここにいくつかのアカウントを追加していたとされる。
Talosは、この悪用は脆弱性の一般開示からほんの数日後に行われていたと指摘。これを踏まえ、脅威アクターたちが新しく開示される脆弱性を攻撃手段として取り入れるスピードの速さが浮き彫りになっていると述べている。
暗号化ツールとBYOVD戦術における変更
Talosは暗号化ツールの新たなバージョンも観測。この新ツールの特徴としては、主に以下の3点が挙げられている。
- 暗号化されたファイルのファイル名末尾には、「blackbytent_h」というこれまで報告されていなかったファイル拡張子が追加される。
- これまでの攻撃で投下される脆弱なドライバーは3種だったが、新バージョンの暗号化ツールは4種のドライバーを展開する。
- 新バージョンは、被害組織のActive Directoryの認証情報を使って自己伝播する。
<BlackByteがBYOVD攻撃で使う4つのドライバー>
- AM35W2PH(RtCore64.sys)
- AM35W2PH_1(DBUtil_2_3.sys)
- AM35W2PH_2(zamguard64.sys、別称「Terminator」)
- AM35W2PH_3(gdrv.sys)
リークサイトに反映される被害組織はほんの一部
Talosはまた、BlackByteの活動が、リークサイトで示されているよりもずっと活発であるとみられることについても報告している。同社によれば、被害者としてリークサイトに追加されるのは実際に攻撃を受けた組織のうち20〜30%ほどだと推定されるという。ただ、なぜ全体数と掲載数にこのような差があるのか正確な理由はわかっていないとのこと。
このほか、Talosのブログ記事ではさらに詳しい攻撃者の情報や防御者向けの推奨事項、MITRE ATT&CK情報、IoCなどが提供されている。