Last Updated on 2024-06-18 13:42 by 荒木 啓介
中国に関連するサイバー攻撃グループが、約3年間にわたり東アジアの企業を標的にしていたことが判明した。攻撃者は、レガシーなF5 BIG-IPアプライアンスを利用して組織内に持続的に侵入し、内部のコマンド&コントロール(C&C)サーバーとして使用していた。この活動は、イスラエルのサイバーセキュリティ企業Sygniaによって「Velvet Ant」と名付けられ、2023年末に侵入が発見された。Velvet Antは、顧客情報や財務情報などの機密情報を長期にわたって収集していた。
攻撃チェーンには、PlugX(別名Korplug)という既知のバックドアが使用されていた。PlugXは、DLLサイドローディング技術に大きく依存する、モジュラー型のリモートアクセストロイ (RAT) であり、中国の利益に関連するスパイ活動に広く使用されている。Sygniaは、攻撃者がPlugXをインストールする前にエンドポイントのセキュリティソフトウェアを無効にしようとした試みや、横方向の移動にImpacketなどのオープンソースツールを使用したことも特定した。
また、Sygniaは、内部ファイルサーバーをC&Cとして使用するPlugXの改良版を特定した。これにより、悪意のあるトラフィックが正当なネットワーク活動と混在することが可能になった。特に、第二のバリアントは、外部C&Cサーバーと通信するために、古いF5 BIG-IPデバイスを隠れ蓑として使用していた。
侵入されたF5デバイスの後続のフォレンジック分析では、攻撃者のC&Cサーバーに毎時コマンドを問い合わせるPMCDツールや、ネットワークパケットをキャプチャする追加のプログラム、そしてGelsemiumやLucky Mouseなどのアクターによって使用されているSOCKSトンネリングユーティリティであるEarthWormが発見された。ターゲット環境への最初のアクセスベクトルは、現在のところ不明である。
【ニュース解説】
東アジアに位置するある企業が、約3年間にわたり中国に関連するサイバー攻撃グループ「Velvet Ant」によって標的とされていたことが明らかになりました。この攻撃グループは、古いF5 BIG-IPアプライアンスを利用して組織内に潜伏し、内部のコマンド&コントロール(C&C)サーバーとして使用していました。イスラエルのサイバーセキュリティ企業Sygniaがこの侵入を発見し、攻撃者が顧客情報や財務情報などの機密情報を長期にわたって収集していたことを報告しています。
攻撃には、PlugXという既知のバックドアが使用されました。PlugXは、DLLサイドローディング技術を利用するリモートアクセストロイ (RAT) で、中国の利益に関連するスパイ活動に広く使用されています。Sygniaによると、攻撃者はPlugXをインストールする前にエンドポイントのセキュリティソフトウェアを無効にし、Impacketなどのオープンソースツールを使用して横方向の移動を試みたとのことです。
さらに、Sygniaは内部ファイルサーバーをC&Cとして使用するPlugXの改良版を特定しました。これにより、悪意のあるトラフィックが正当なネットワーク活動と混在することが可能になりました。特に注目すべきは、第二のバリアントが外部C&Cサーバーと通信するために、古いF5 BIG-IPデバイスを隠れ蓑として使用していたことです。
侵入されたF5デバイスのフォレンジック分析では、攻撃者のC&Cサーバーに毎時コマンドを問い合わせるPMCDツールや、ネットワークパケットをキャプチャする追加のプログラム、そしてGelsemiumやLucky Mouseなどのアクターによって使用されているSOCKSトンネリングユーティリティであるEarthWormが発見されました。
この事件は、レガシーなデバイスやソフトウェアがいかにセキュリティリスクとなり得るかを浮き彫りにしています。企業は、古いシステムやアプライアンスを最新の状態に保つことの重要性を再認識し、定期的なセキュリティチェックとアップデートを怠らないようにする必要があります。また、この事件は、サイバー攻撃者がどれほど巧妙に標的のネットワーク内に潜伏し、長期間にわたって情報を収集できるかを示しています。そのため、組織は侵入検知システムの強化と、異常なネットワーク活動を迅速に特定できる能力を高めることが求められます。
from China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices.
