Velvet Antは脅威アクターです。
Velvet Antは、ターゲットとする組織に長期にわたって潜伏し、情報を抜き取り続けます。
最近、その活動の一つが調査し対応されました。
どのようなものだったのでしょうか。
- 初期アクセスは未解明
最初に何を足掛かりとして攻撃開始を許してしまったのかについては、解明されていません。 - 境界面
調査の結果、重要な位置を占めていた侵害ポイントが、ネットワーク機器であることがわかりました。
今回の事例の場合、それはBIG-IPの機器でした。
経緯については解明されていませんが、BIG-IPが侵害され、いくつもの攻撃ツールが設置されていました。 - 境界面のツール1:VELVETSTING
脅威アクターのC2に1時間に1回接続し、実行するコマンドを取得するツールです。
ツールがコマンドを受信すると、そのコマンドは「csh」(Unix C シェル) 経由で実行されます。 - 境界面のツール2:VELVETTAP
ネットワークを流れるパケットをキャプチャする機能を備えたツールです。 - 境界面のツール3:SAMRID
オープンソースのSOCKSプロキシトンネルです。
過去にさまざまな脅威アクターに使用されてきたツールです。
EarthWormという名前でも知られています。 - 境界面のツール4:ESRDE
VELVETSTINGと同様の機能を持つツールです。
こちらはcshではなく、bashを使用します。 - 使い分けられた2種のマルウェア
この攻撃では、2種のPlugXが利用されていました。
ひとつは、外部にあるC2からのコマンドを受信することのできるタイプのものでした。
そして、もう一つは、内部にあるファイルサーバを使用する構造になっているタイプのものでした。
前者は通常みられる動作形式のものでしたが、後者はファイルサーバをC2の代わりに見立てて動作できる内容になっていました。
このため、内部での活動内容がネットワーク的な監視によって検出しにくい状況を作り出してしまっていました。
サイバー脅威への注意が必要であることが徐々に浸透し、WindowsやLinuxなどの機器に対するメンテナンスが重要であるということが共通の認識となっている組織も多くなってきているように思います。
しかし、その注意を向ける対象はそれらの機器だけでは不十分です。
ネットワーク機器をはじめとする通常のパソコン以外の機器においても、多くの機能がソフトウェアで実装され動作しています。
こういった機器のファームウェアもパソコンを構成するソフトウェアに対応するのと同じように十分なパッチケイデンスが必要です。
通常の運用としてのパッチ適用業務の他に、パッチ管理が必要な機器の対象範囲の見直しも定期的に実行することが良いということなのでしょうね。
China-Nexus Threat Group ‘Velvet Ant’ Abuses F5 Load Balancers for Persistence
https://www.sygnia.co/blog/china-nexus-threat-group-velvet-ant/
| この記事をシェア |
|
|---|
