中国と関連するとみられる脅威アクターが、高度にセキュリティ保護された重要インフラネットワークの内部に、約10年にわたって潜伏し続けていたことが明らかになりました。
Sygniaが「Velvet Ant」として追跡しているこのグループは、「Operation Highland」と名付けられた巧妙な作戦を展開し、インターネットに直接接続されていない環境への侵入に成功しました。
インシデントから得られたフォレンジックの痕跡によると、ネットワークへの不正侵入は2016年まで遡ることが判明しています。
攻撃者たちは新たなソフトウェア脆弱性に頼ることなく、Linux PAMモジュールとOpenSSHバイナリにバックドアを仕掛けることで、認証スタックの根幹を組織的に侵害しました。
この深いレベルのアクセス権を確保したことで、グループは資格情報の密かな収集、管理者コマンドの監視、そして通常の認証フローの完全な回避を可能にし、定期的なパスワードリセットが行われてもアクセスを維持し続けました。
標的ネットワークは高度にセグメント化されていたため、Velvet Antは段階的なアクセス経路を意図的に構築する必要がありました。
まず、インターネットに接続された外部公開サーバーを侵害し、正規のシステムユーティリティに偽装した改変版GS-Netcatを展開しました。
このツールにより、リモートのコマンド&コントロールサーバーへの秘匿性の高い暗号化リバースシェルが確立されました。さらに、システム再起動後もアクセスを維持するために、悪意ある起動スクリプトを埋め込み、systemdユニットファイルを無害なChromeサービスに偽装しました。
GS-Netcatに加え、Velvet Antはカスタム製のSOCKS5プロキシスクリプトを活用して横断的な移動を促進しました。このプロキシにより、侵害済みホストを経由してネットワークトラフィックをトンネリングし、検知を回避することが可能となりました。
その後、Nginxサーバーを悪用してITネットワーク内部へさらに侵入を深めました。Nginxの設定を改ざんし、受信するWebリクエストをFastCGIラッパー経由でカスタムバイナリへ転送する仕組みを構築しました。
この実行ブリッジがゲートウェイとして機能し、最終的にはインターネットへの直接接続を一切必要とせず、隔離された重要インフラセグメントへ直接SSHで接続することを可能にしました。
セキュアなネットワーク内部への侵入を果たしたVelvet Antは、認証レイヤー自体を掌握することで長期潜伏を図る戦略へと移行しました。
複数の侵害済みマシンにおいて、正規のpam_unix.soモジュールがカスタム製の悪意あるバリアントに置き換えられました。
調査の結果、これらモジュールの異なる9種類のバリアントが発見されており、それぞれが別々の環境でコンパイルされていたことから、豊富なリソースを持つ組織的な作戦であることが浮き彫りになりました。
これらのバックドア入りPAMモジュールは認証プロセスを傍受し、ハードコードされたバックドアパスワードが入力された際に不正アクセスを許可する仕組みになっていました。
さらに、正規のユーザー名とパスワードを密かに記録し、盗み取ったデータを隠しログファイルに保存していました。
グループはまた、大幅に改造されたOpenSSHスイートも展開しており、標準的なssh、sshd、scpバイナリに悪意ある機能を注入しました。
これらの改ざんされたファイルにより、侵害されたネットワークインフラに対する攻撃者の可視性と制御範囲が劇的に拡大したと、Sygniaは報告しています。
今回の侵害への対処が極めて困難だったのは、マルウェアが管理者がネットワーク管理に必要とするツールそのものに埋め込まれていたためです。
PAMおよびSSHのコアコンポーネントを無計画に置き換えれば、管理者が完全にロックアウトされたり、深刻な本番環境障害が発生したりするリスクがありました。
対応チームは根絶プロセスを検証するための隔離されたラボ環境を構築し、必要なセキュリティアップデートがビジネス継続性を損なわないことを確認した上で作業を進めました。
Operation Highlandは、隔離されたネットワークも侵害から無縁ではないことを改めて示す重大な警告であり、アラート主導のセキュリティ運用にとどまらない積極的な脅威ハンティングの必要性を強く訴えるものとなっています。
翻訳元: https://cyberpress.org/backdoored-binaries-steal-credentials/
