中国との関連が指摘される脅威アクター「Velvet Ant」による長期かつ高度に組織的な侵入活動が明らかになりました。この攻撃は約10年にわたる静粛なアクセスキャンペーンであり、最終的には隔離された重要インフラネットワーク全体で認証の根幹を担うOpenSSHバイナリとPAMモジュールが置き換えられるという結末を迎えました。
侵入の糸口はインターネットに直接接続するシステムへの侵害から始まり、攻撃者はカスタムツールを展開して秘密裏にコマンド&コントロール(C2)およびトンネリング機能を確立しました。
カーネルスレッド(auditdb)に偽装した改ざん版GS-Netcatバイナリが中継インフラへの暗号化リバースシェルを提供する一方、独自のSOCKS5プロキシが横断的なトラフィックルーティングを可能にしました。
さらにVelvet AntはNginxを再設定し、FastCGIラッパーを連鎖させてバックエンドホスト上でバイナリを実行するという手口でWebインフラを悪用しました。これにより、セグメント化された環境へのHTTPトリガーによる実行ブリッジが作り出されました。
Sygniaのインシデントレスポンスが「オペレーション・ハイランド(Operation Highland)」として再構成した調査によると、この環境における最初の活動は2016年まで遡ることが判明しており、ネットワークセグメンテーションを回避して認証の根幹に深く潜伏した、永続的かつ多段階の攻撃であることが明らかになりました。
Velvet Antはインターネット接続サーバーに改ざん版GS-Netcatを展開し、リモートC2サーバーへのリバースシェル接続を確立しました。
この意図的な多段階構成により、攻撃者は外部から直接接続することなく内部の重要ホストへのアクセスを可能にしました。
Velvet AntハッカーによるOpenSSHバックドア化
侵入に成功した攻撃者は、認証スタックへの組織的な攻撃を展開しました。Sygniaは、別々のビルド環境でコンパイルされた9種類の異なるバックドア入りpam_unix.soの亜種を特定しており、構造化されたパイプラインと多大なリソースの投入が見てとれます。
これらの悪意あるPAMモジュールは、ハードコードされたバックドアパスワードを受け入れる、正規の認証情報を隠し場所に収集する、あるいはその両方の機能を果たすものでした。
PAMは多くのログインフローの基盤を担うため、この改ざんによってVelvet Antは認証に対する透過的かつ包括的な制御を獲得しました。その結果、パスワードローテーションや通常の封じ込め対策を乗り越えるアクセス手段を手にしました。
PAMの改ざんを補完するかたちで、Velvet Antは複数の改ざん版OpenSSHスイートを各ホストに展開しました。悪意あるssh、sshd、scpの各バージョンは、認証情報のダンプ、暗号化されたコマンドキーロギング、root権限での実行時におけるSELinuxの無効化、プロセスの偽装、フォレンジックタイムラインを消去するタイムストンピングといった動作が確認されています。
password (Source : Sygnia).”>攻撃者は新しいsshバイナリに独自の-dフラグを追加し、自分たちのセッションにおける認証情報とセッションログの記録を一時停止できるようにしました。これは作戦セキュリティ(OpSec)上の工夫であり、活動中に検出可能な痕跡を減らすためのものです。
各エントリには以下のフラグが含まれていました:
– 接続方向:O(送信)/ I(受信)
– 認証タイプ:B(Kerberos認証)、C(PAM認証)、X(SSH2認証)など
– 成功ステータス:Y(成功)/ N(失敗)
古い亜種では、ローテーションする暗号化MD5ハッシュのセットをバックドアトークンとして使用しており、検出を困難にするために実質的なパスワードを毎日変更していました。
悪意あるscpバイナリはroot権限で実行された場合にSELinuxを無効化できました。これはSELinuxの設定を変更できるのはrootユーザーのみであるためです。
PAM、OpenSSH、authorized_keysの複合的な侵害により、認証バイパス、認証情報の窃取、持続的なSSHキーアクセスという多層的な永続化が実現されました。
このような構成は、重要環境における復旧作業を特に困難なものにしました。破損したPAMモジュールやSSHバイナリを置き換える作業には、管理者のロックアウトや本番環境への障害といった即時リスクが伴います。特にエアギャップネットワークやインターネット制限のある環境では、ライブパッケージの取得や依存関係の解決が不可能なため、そのリスクはさらに高まります。
Sygniaの復旧対応では、ラボでのテスト、各ホストのプロファイリングによる互換性のある代替バイナリの特定、隔離環境への順次展開、そしてクリーンアップ中の意図しないアクセス遮断を防ぐための明確なロールバック計画が重視されました。
防御側は認証サブシステムを主要な攻撃面として捉える必要があります。推奨される緩和策には、隔離ネットワーク向けのエンドポイント可視化(EDR)とテレメトリリレー、PAMおよびOpenSSHアーティファクトに焦点を当てたファイル整合性監視、厳格な特権アクセス制御、認証情報の保管(ボルティング)、rootへの直接SSHの無効化、重要ホストへのアクセス前にMFAを強制した堅牢な踏み台ホスト経由での管理作業が含まれます。
認証情報のローテーションは、永続化が除去された後にのみ実施する必要があります。また、安全なリストアを可能にするため、ゴールデンリカバリホストとオフラインの改ざん不可能なバックアップを事前に準備しておくことが重要です。
オペレーション・ハイランドは、忍耐力と豊富なリソースを持つ攻撃者が認証レイヤーを武器化し、隔離されたインフラ内で長期間にわたるステルスアクセスを実現できることを如実に示した事例です。
Sygniaの調査レポートおよびアドバイザリ資料には、F5 BIG-IPアプライアンスへのVelvet Antによる悪用や、CVE-2024-20399に関するCisco NX-OSのゼロデイ脆弱性、NexusスイッチへのVELVETSHELLバックドアに関する従来の報告も含まれており、詳細な侵害指標と復旧指針が提供されています。高価値の運用環境を防御するチームは、これらの資料を必ず参照してください。
翻訳元: https://gbhackers.com/velvet-ant-hackers-backdoor-openssh/
