TokyoBlackHatNews

helpnetsecurity.com 4分で読了

中国系スパイ集団、認証スタックにバックドアを仕込み数年間潜伏

「Velvet Ant」として知られる中国系サイバースパイ集団が、ある組織の内部ネットワークに約10年間にわたって検知されることなく潜伏し続けていたことが、サイバーセキュリティ企業Sygniaが公開したフォレンジック調査報告書で明らかになりました。

このグループの最大の特徴は、標的環境に長期間ひそかに潜伏し続ける能力にあります。今回のケースでは、複数のホストにわたって特権アクセス管理(PAM)モジュールとOpenSSHバイナリにバックドアを仕込み、認証スタック全体を掌握していたため、排除にも多大な労力が必要となりました。

認証レイヤーの乗っ取り

  • GS-Netcatユーティリティの改造版を当該サーバーに展開し、リモートC2サーバーへのリバースシェル接続を確立
  • 改ざんされたNginx設定と、HTTP POSTリクエストをトリガーとして内部サーバーへのSSH接続を確立するカスタムバイナリを用いて、組織の内部ネットワーク深くへ侵入
  • オープンソースのssspl SOCKS5プロキシサーバーを独自実装し、トンネリングおよびラテラルムーブメントに使用

しかし、今回の侵入で最も深刻だったのは、Velvet Antによる認証レイヤーの乗っ取りです。同グループは、ログイン認証を担うPAMモジュールと、リモートアクセスに使用されるOpenSSHバイナリを改ざんしました。

改造されたPAMモジュールは、ハードコードされた秘密パスワードを使って認証を完全にバイパスするか、さらにその上で正規ユーザーが入力したすべてのユーザー名とパスワードを隠しファイルにひそかに記録することができました。

「9種類の異なるpam_unix.soバリアントが確認され、それぞれ別個のコンパイル環境でビルドされていました。これだけのバリアントを作成・維持するために必要な労力は、十分なリソースを持つ組織による、意図的な作戦であることを示しています」と、アナリストたちは指摘しています。

改造されたSSHバイナリはさらに踏み込んだ機能を持っており、受信・送信の両方向の接続から認証情報を取得し、アクティブなセッション中に入力されたすべてのコマンドをログに記録し、ファイルシステムに溶け込むよう偽装した暗号化ファイルにすべてを保存していました。

ステルス性をさらに高めるため、これらのバイナリにはカスタムフラグが組み込まれており、認証情報と鍵のロギングを抑制したり、別のフラグによってプロセス名を偽装してシステムプロセスに紛れ込ませたりすることが可能でした。

第3の手段として、侵害されたサーバーのauthorized_keysファイルに自身の鍵を追記することで、パスワードなしのアクセスを確保していました。これにより、パスワードをすべてローテーションしても、アクセス権は維持されます。

排除と検知の困難さ

Velvet Antの排除は、不正なファイルを削除したりサービスを無効化したりするだけでは済みません。また、3つある持続化メカニズムのうち1〜2つを取り除くだけでも不十分です。

「排除の観点から見ると、悪意のあるサービスを置き換えることと、PAMモジュールやOpenSSHバイナリを置き換えることはまったく別次元の話です。パッケージの選択ミス、互換性のないバイナリ、依存関係の欠落があれば、管理者はホストへのアクセスを完全に失いかねません。重要インフラにおいては、その事態が本番環境の停止につながる可能性もあります」とSygniaは指摘しています。

影響を受けたサーバーで稼働しているLinuxのディストリビューションとバージョンが多岐にわたっていたことも、対応を困難にしました。各環境に対応した修復パッケージを個別に調整する必要があったためです。

さらに、置き換えパッケージを本番システムに実際にインストールする前にすべてをテストする必要があり、対応チームはさまざまな障害シナリオに備えたロールバック手順も準備しました。

「この事案は、シグネチャベースの検知とアラート主導のセキュリティ運用が、忍耐力と能力を兼ね備えた脅威アクターに対していかに無力かを示す事例研究です」と、彼らは述べています。

「検知すべき新たなエクスプロイトは存在せず、監視対象のディレクトリに明らかに悪意あるバイナリがドロップされることもありませんでした。Velvet Antはpam_unix.so、sshd、sshといったコンポーネントを通じて活動しており、これらは事実上すべてのLinuxホストに存在し、正規ユーザーに対しては正常に動作し、バックドアを仕込まれていても異常なログエントリを生成しません。攻撃者の存在は、設計上、正規の管理業務と区別がつかないようになっていたのです。」

Sygniaは、組織に対して多様な重要セキュリティ対策の導入と積極的な脅威ハンティングの実施を推奨しています

「プロアクティブな脅威ハンティングは、分析の視点を『既知の悪意ある活動は何か』から『この環境において不整合・想定外・正当性のない活動は何か』へと転換させます。この違いは、セグメント化されたネットワークや高セキュリティ環境において非常に重要です。隔離されているという思い込みが、偽りの安心感を生み出しかねないからです」と、彼らは結論づけています。

翻訳元: https://www.helpnetsecurity.com/2026/06/15/velvet-ant-backdoored-authentication-persistence/

ソース: helpnetsecurity.com
#OpenSSH #PAMモジュール #Sygnia #Velvet Ant #サイバースパイ #バックドア #ラテラルムーブメント #中国系APT #脅威ハンティング #認証バイパス

関連記事

DelineaとCyeraが連携、データを意識したアイデンティティセキュリティを実現

Trust3 AIのAgentDOS、AIエージェントの活動・データアクセス・トークン消費を監視

Omada Agent Governance — AIエージェントのアクセス管理・リスク・コンプライアンスを支援する新ソリューション