Scattered Spider、VMware ESXi狙ったアグレッシブな攻撃キャンペーンを実施

佐々山 Tacos

2025.10.17

7月25〜28日：サイバーセキュリティ関連ニュース

Scattered Spider、VMware ESXi狙ったアグレッシブな攻撃キャンペーンを実施

BleepingComputer – July 27, 2025

ハッカー集団Scattered Spiderが、米国の小売、航空、運輸、保険部門の企業を狙ってVMware ESXiへの攻撃を実施しているという。GoogleのThreat Intelligence Group（GITG）が報告した。

GITGによれば、このキャンペーンにおけるScattered Spider（別称：0ktapus、UNC3944、Octo Tempest）の初期アクセス戦術はこれまで通り、ソーシャルエンジニアリングに頼った脆弱性の悪用を伴わない手口。具体的には、過去に漏洩した個人情報などを使ってターゲット企業の従業員になりすまし、ITヘルプデスクへ電話をかける。これに応じたヘルプデスクを巧みな話術や恐喝まがいの口調で説き伏せ、当該従業員のActive Directoryのパスワードをリセットさせるという。

こうして初期アクセスを獲得した攻撃者は、ネットワークデバイスのスキャンを行ってIT文書を探索。見つかった文書からドメイン名やVMware vSphereの管理者、また仮想環境における管理者権限の付与を担うセキュリティグループなど、高価値なターゲットの情報を入手する。そしてこうした情報を使って特権を持つ管理者になりすまし、再度ヘルプデスクへ電話。同じようにパスワードリセットを要求することで、特権アカウントをも乗っ取るという。

その後攻撃者らは、VMware vSphere環境の管理を担うVMware vCenter Server Appliance（vCSA）へのアクセスを得ると、ESXiホスト上でのSSH接続の有効化とrootパスワードのリセットを実施。ドメインコントローラーの仮想マシンをオフにして、その仮想ディスクの接続を解除し、モニタリング対象でない別の仮想マシンにアタッチする「ディスクスワップ」攻撃を行って、Active DirectoryのNTDS.ditデータベースを抜き出すという。これが終わると、ディスクは元のドメインコントローラーマシンへ戻され、電源はオンにされる。ここまででScattered Spiderが手にする仮想インフラの制御権は、バックアップマシンを含むすべてのアセットの管理を可能にするレベルのもの。なお、バックアップマシンからはバックアップジョブ、スナップショット、リポジトリがワイプされる。

攻撃の最終段階は、ランサムウェアを展開し、VMファイルを暗号化すること。Scattered Spiderの攻撃チェーンでは、初期アクセスの達成からデータ抜き取りおよびランサムウェア展開までがほんの数時間たらずで実施されることもあり得るとされる。

ESXiハイパーバイザーを狙った攻撃は真新しいものではなく、これを狙うランサムウェアグループはますます増えており、この問題はさらに深刻化するものとみられている。VMwareインフラに対する組織側の理解が足りず、結果として堅牢な保護が施されない場合が多いことも、その一因となっている恐れがあるという。GoogleはScattered Spiderの攻撃について詳細に解説するブログ記事を公開しており、その中で同グループの攻撃を早い段階で検出するためのアクションを提示している。

BreachForumsのダークウェブサイト、新たな管理者「N/A」のもと再浮上

HackRead – July 25, 2025

今年4月末以降その姿を消していたサイバー犯罪プラットフォームBreachForumsのダークウェブサイトが、7月25日頃に復活したとの報道。「N/A」と名乗る新たな管理者がフォーラムユーザーに向けた声明を投稿している。

BreachForumsのクリアネットおよびダークウェブのドメインは、2025年4月初頭に突如説明なくオフラインになり、メンバー内で法執行機関のアクションやフォーラムの差し押さえがあったのではないかとの憶測が生まれていた。その後同月28日、BreachForumsのホームページは、法執行機関がMyBBのゼロデイ脆弱性を利用して同フォーラムを侵害しようとした旨、また問題解消のためサイトをオフラインにする必要があった旨を知らせるメッセージに置き換わり、それを最後にBreachForumsの消息は絶たれた。そして今年6月には、元祖BreachForumsの管理者Pompompurinの逮捕後に新たにリーダーシップを握っていたShinyHuntersのメンバーとされる容疑者と、IntelBrokerを名乗っていた容疑者を当局が逮捕している。

しかしロシア語ハッキングフォーラム「XSS[.]IS」のテイクダウンも記憶に新しい7月25日、Hackread[.]comはBreachForumsの.onionドメインが「N/A」という新たな管理者のもとで再びアクティブになっているのを発見したという。N/AはMyBBの脆弱性が修正されたこと、フォーラムは侵害されていないこと、またユーザーデータは保護されていることを説明した上、ShinyHuntersのオリジナルのメンバーは逮捕されていないと主張。また、IntelBrokerにフォーラムの管理者アクセスを付与したことは一度もなく、IntelBrokerを管理者のように見せたのは本当のフォーラムオーナーから法執行機関の目を逸らすためだったとも記した。

ダークウェブ版BreachForumsの復活はサイバー犯罪コミュニティでは好意的に受け取られるかもしれないものの、これが法執行機関によるハニーポットである可能性は捨てきれない。またN/Aが何者であるかや、N/Aの言う通りにオリジナルの管理者チームが逮捕されていないのだとすれば今どこにいるのか、といった疑問も生じる。これらを踏まえ、Hackread[.]comはBreachForums利用者に対し、これを機にサイバー犯罪から足を洗ってはどうかと呼びかけている。