VerdantBambooと呼ばれる高度な中国系脅威アクターが、ネットワークエッジ機器を悪用して企業ネットワークに侵入し、Microsoft 365環境へのアクセスを試みていたことが明らかになりました。
このキャンペーンは2025年9月、Volexityがインシデント対応業務中に発見したものです。従来はエンドポイント検出・応答(EDR)の監視が届きにくいデバイスを標的にするという、近年増加している攻撃傾向を改めて浮き彫りにしました。
攻撃者はEgnyte Storage Sync仮想マシンに侵入し、正規のネットワークトラフィックに紛れ込むためのプロキシとして悪用しました。
このプロキシ機能を活用することで、不正ログインを制限するよう設計された条件付きアクセスポリシーを効果的に回避することができました。
さらなる調査により、少なくとも18か月という驚くべき滞留期間を持つ、深く根を張った作戦の全容が明らかになりました。WARP PANDAまたはUNC5221の名称でも追跡されているVerdantBambooは、主要な被害組織のみを標的にしたわけではありません。
被害者のマネージドサービスプロバイダー(MSP)への侵害にも成功しています。pfSenseのファイアウォールを突破することで、攻撃者は確固たる足がかりを構築しました。
これにより、管理者認証情報の窃取やインフラ構成の把握が可能となり、初期の修復作業後も被害者のネットワークへ繰り返し侵入することができました。
この長期的なアクセスを維持するため、VerdantBambooはLinuxおよびBSDオペレーティングシステム向けに特化した、高度なプライマリインプラントとフォールバックインプラントを組み合わせて展開しました。
この脅威アクターは、特定のデバイスに合わせてマルウェアをカスタマイズするという、高い作戦セキュリティを示しました。
さらに、フォールバックツール専用のコマンドアンドコントロールドメインを意図的に別途用意することで、防御側がプライマリの感染経路をブロックしても、セカンダリバックドアが完全に隠蔽されたまま残る仕組みを整えていました。
攻撃者は、インプラントを展開する手段として設定ミスや窃取した認証情報の悪用に大きく依存していました。
Egnyte Storage Syncシステムにおいて、VerdantBambooはデバイスのsudo設定内に意図せず存在していたローカル権限昇格の脆弱性を発見しました。
この重大な欠陥を利用すると、権限を持たないサービスアカウントでも特定のコマンドをroot権限で実行できる状態になっていました。脅威アクターはこれを悪用し、システム上の任意の場所にファイルを書き込んで、BRICKSTORMのペイロードを制限ディレクトリに直接投下し、スケジュールタスクを通じて起動させました。
Volexityの調査によると、MSPのpfSenseファイアウォールへの侵害も同様に甚大な被害をもたらしました。pfSenseはFreeBSD上で動作しており、VerdantBambooはその環境向けに専用設計された難読化済みのBRICKSTORMバリアントをあらかじめ用意していました。
攻撃者はシステムのcronファイルを改ざんして永続性を確保し、バックドアが継続的に動作し続けるよう仕込んでいました。
この準備の徹底ぶりは、独自仕様のネットワーク機器とその基盤となるオペレーティングシステムへの深い知識を有していることを示しています。
インシデント対応チームがEgnyteシステムを隔離し、侵害されたVPNを無効化すると、VerdantBambooは攻撃の矛先を変えました。
多要素認証が一切設定されていない窃取済みの管理者認証情報を使用し、被害者のネットワーク上に公開されていたSynology NASアプライアンスへのログインを試みました。
攻撃者はただちにSSHアクセスを有効化し、高度な検出回避能力を持つPLENETバックドアを展開して、再び足がかりを確立しました。
調査の過程で、セキュリティチームはBRICKSTORMのコマンドアンドコントロールサーバを分析し、攻撃者のインフラのフィンガープリントを特定することに成功しました。
これらのサーバは常にCloudflareのIPアドレスを使用し、特徴的なTLS証明書を提示していることが判明しました。
翻訳元: https://cyberpress.org/verdantbamboo-targets-network-appliances/
