何が起きたの？

⚠️Alerte CERT-FR⚠️
CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023).https://t.co/KN6GDUdXcL

— CERT-FR (@CERT_FR)2023年2月3日

• 2月4日未明よりVMware ESXiを狙ったサイバー攻撃が発生しているとCERT-FRをはじめ複数のセキュリティ研究者などから報告があがっており、被害に遭ったとみられるホスト数が増加傾向にあることから攻撃が続いている状況とみられる。攻撃を受けたホストはファイルの暗号化と身代金を求めるメッセージが確認されており、暗号化されたファイルの拡張子に.argsがつけられているためか研究者らからキャンペーンに対し「ESXiArgs」と名称がつけられている。*1
• 身代金を要求するメッセージを公開している（ファイル暗号化の被害に遭ったとみられる）サーバーは、shodanを通じて確認されたものは約1,200件、Censysでは約1900件（2023年2月7日8時時点）。フランスを筆頭にドイツ、カナダ、米国、オランダの順に欧米を中心とする一方、割合として少数ながら日本を含むアジア地域でも同様の事象が観測されていた。
• その後、復元可能なケースが確認されたことから米国CISAからもリカバリースクリプトが公開されたが、既存の手段では復元できない方式に暗号化の処理が変更されたことが報告されており、この方式で暗号化の被害を受けたとみられるホストが確認されている。
• VMware ESXiが2021年2月以降アップデートされていない、かつOpenSLP(port427)が攻撃者から接続可能な状態となっている場合は攻撃の影響を受ける（既に受けている）恐れがあり、至急対応を行う必要がある。

攻撃を受けるとどうなるの？

攻撃を受けた際は、以下の事象が報告されている。

①ファイルの暗号化

• ESXi上の次の拡張子のファイル（接続されていない仮想ハードディスクを含む）を対象に暗号化を行い、暗号化したファイルごとに.argsの拡張子を付けたファイルを作成する。その後、暗号化に使用したバイナリファイルなどが削除される。
  • .vmdk
  • .vmx
  • .vmxf
  • .vmsd
  • .vmsn
  • .vswp
  • .vmss
  • .nvram
  • .vmem

• 暗号化前に攻撃を受けたサーバーが停止した影響で、暗号化に用いられたスクリプトとバイナリに関する情報がBleeping Computerのフォーラムに投稿されている。
  • 暗号化スクリプト（encrypt.sh）https://pastebin.com/y6wS2BXh
  • 暗号化バイナリ（encrypt）11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66
• 暗号化に使用されたバイナリは、鍵生成にOpenSSLのCPRNG RAND_pseudo_bytesを使用して鍵を生成し、Sosemanukを使用してファイルの暗号化を行う。その後ファイルキーはRSAで暗号化された後、ファイル末尾に追加される。*2
• Nevadaランサムウエアとの関連が指摘されていたが、実装されている暗号化方式などから過去に観測されたランサムウエアキャンペーンで使用されたソースコードを流用ている可能性があるとBleeping Computerは指摘。*3

②ランサムノートの作成

• 以下の身代金を要求する脅迫メッセージ（テキスト(motd)やHTMLファイル(index.html)）がホスト上に作成される。

How to Restore Your Files
Security Alert!!!
We hacked your company successfully
　
All files have been stolen and encrypted by us
If you want to restore files or avoid file leaks, please send (要求金額) bitcoins to the wallet (ウォレットのアドレス)
If money is received, encryption key will be available on TOX_ID: (TOX ID)
　
Attention!!!
Send money within 3 days, otherwise we will expose some data and raise the price
Don't try to decrypt important files, it may damage your files
Don't trust who can decrypt, they are liars, no one can decrypt without key file
If you don't send bitcoins, we will notify your customers of the data breach by email and text message
And sell your data to your opponents or criminals, data may be made release
　
Note
SSH is turned on
Firewall is disabled

• 要求するビットコインの金額は約2BTC(約600万円相当)で、piyokangoが見る限り被害に遭ったホストごとに要求金額が微妙（端数）に異なっていた。
• メッセージ中、全てのファイルを盗んだとする記述があるが、大規模なデータサイズのファイルに見合ったデータ送信量の確認は出来ていないとの報告がある。

③その他の事象

• 暗号化スクリプト実行終了の際、クリーンナップとして/store/packages/vmtools.pyというファイルを含む削除が行われている。Bleeping Computerはこの削除されたファイルが昨年末報告のあったESXi向けのカスタムPythonバックドアと非常に類似していると指摘している。

2年前に修正された脆弱性悪用の可能性

• CERT-FRは、現時点での調査としてCVE-2021-21974を悪用した攻撃が行われていると指摘。OVHcloudも同様にOpenSLPのポートを介して攻撃が行われていると報告している。*4 GreynoiseはCVE-2021-21974以外に、CVE-2019-5544、CVE-2020-3992も可能性として取り上げており、2023年2月10日時点でも悪用されている具体的な脆弱性の特定はされていない。*5
• VMwareは、今回の攻撃について0dayの脆弱性悪用は確認されておらず、著しく古い製品または既にサポートが終了している製品を標的にしていると言及。*6
• CVE-2021-21974はOpenSLP（Service Location Protocol）のヒープオーバーフローの脆弱性で、悪用された場合にリモートから任意のコード実行が行われる恐れがある。2021年2月23日に公開されたVMSA-2021-0002で修正されており、CVSSは8.8*7、深刻度はImportとして評価が行われていた。
• CVE-2021-21974であった場合は2021年2月3日より前の以下のバージョンが影響を受ける。またサポートが終了している5.5、6.0も影響を受ける可能性がある。また2021年以降にリリースされたESXi 7.0 U2c、ESXi 8.0 GAにおいては、OpenSLPは既定で無効化されていた。

• 今回の攻撃との関連は不明だが、CVE-2021-21974は2021年3月2日に報告者のZDIが概要を公開し、その後2021年5月21日にはセキュリティエンジニアのJohnny Yu氏が詳細情報とPoCを公開していた。またTenableもエクスプロイトが利用可能な状態にあると分析を行っていた。ただし、米国CISAのKEVには2023年2月4日時点で掲載は行われていなかった。

CISAが復元ツール公開するも暗号化スクリプト変更

• 2023年2月8日に、CISAが他のリサーチャーが公開した調査結果に基づき、復元するスクリプトをGithubに公開した。
  • CISAAlert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance
• 実際の仮想ハードディスクの内容が保存されている(サーバー名)-flat.vmdkファイルは128MBを超える場合に部分的にのみ暗号化が行われる実装となっていたことから、これを使って復旧する方法が紹介されていた。
• しかし、その後に暗号化を行っていたスクリプトの処理内容に変更が行われ、これまで影響を免れる可能性のあったファイルにおいても半分のデータが暗号化される処理となったことから、この新しいバージョンのスクリプトによって暗号化された場合は復元が出来ない。また身代金支払い先のウォレットアドレスが削除されており、リサーチャーが身代金支払先アドレスを集約していたことを受けての変更とみられる。*8

注意喚起等

• VMwareVMware Security Response Center (vSRC) Response to ‘ESXiArgs’ Ransomware Attacks
• CERT-FRCERTFR-2023-ALE-015 (Objet: Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi)
• CSIRT-ITARilevato lo sfruttamento massivo della CVE-2021–21974 in VMWare ESXi(AL01/230204/CSIRT-ITA)
• JPCERT/CCVMware ESXiを標的としたランサムウェア攻撃について
• さくらインターネット【重要】VMware ESXiの脆弱性に関する注意喚起

関連情報

• Esxi Ransomware Help and Support Topic (ESXiArgs / .args extension)（当該ランサムウエアのキャンペーンについて取り上げられているスレッド）
• The Evolution of ESXiArgs Ransomware (Censys)

更新履歴

• 2023年2月5日 AM 新規作成
• 2023年2月5日 PM 続報反映
• 2023年2月6日 PM 続報反映、脆弱性のPoCの公開状況を修正。
• 2023年2月7日 AM 続報反映、対象製品を追加
• 2023年2月10日 PM 続報反映（CISA復元ツール公開と暗号化スクリプトの変更）

*1:攻撃自体は2022年12月頃から発生していたとの報告がある。

*2:https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-18#entry5470974

*3:Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide,Bleeping Computer,2023年2月3日

*4:OpenSLPを無効化していたが被害に遭ったとの報告がある。

*5:Exploit Vector Analysis of Emerging ‘ESXiArgs’ Ransomware,Greynoise,2023年2月8日

*6:VMware warns admins to patch ESXi servers, disable OpenSLP service,Bleeping Computer,2023年2月6日

*7:CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

*8:New ESXiArgs ransomware version prevents VMware ESXi recovery,Bleeping Comuter,2023年2月8日