中国のサイバー諜報グループが、最近発見されたゼロデイエクスプロイトを用いてCiscoのスイッチアプライアンスを脱獄(jailbreak)した後、カスタムマルウェアを展開していることが観測された。
中国が支援しているとみられる高度持続的脅威(APT)グループ「Velvet Ant」の攻撃手法を調査する中で、サイバーセキュリティ企業Sygniaは2024年7月、同グループがCiscoのNX-OS(CVE-2024-20399)におけるゼロデイのコマンドインジェクション脆弱性を悪用していたことを発見した。
NX-OSは、CiscoのNexusシリーズスイッチ向けに特別に設計されたネットワークオペレーティングシステムである。
Sygniaは8月22日付の新たなレポートで、脅威アクターがこのゼロデイエクスプロイトを用いてカスタムマルウェアを展開したことを明らかにしている。
ゼロデイを悪用したマルウェア展開
このゼロデイエクスプロイトにより、スイッチ管理コンソールへの有効な管理者認証情報を持つ攻撃者は、NX-OSのコマンドラインインターフェース(CLI)から脱出し、基盤となるLinuxオペレーティングシステム上で任意のコマンドを実行できる。
この脆弱性の悪用により、Velvet AntはオンプレミスのCiscoスイッチアプライアンスを侵害して制御し、それらを主要な踏み台として追加のネットワーク機器へアクセスできるようになり、既知の侵害済みロケーションから発生する追加活動を明確に特定できるようになった。
悪用後、Velvet Antは基盤OS上で動作し、一般的なセキュリティツールからは見えないように作られた特注のマルウェアを展開した。
SygniaがVelvetShellと呼んだこのマルウェアは、2つのオープンソースツール(UnixバックドアのTinyShellと、3proxyというプロキシツール)を組み合わせてカスタマイズしたハイブリッド版である。
このエスカレートする回避戦術により、APTグループは長期的なネットワーク常駐を維持でき、これはサイバー諜報キャンペーンを展開する際に極めて重要となる。
Ciscoは2024年7月1日、この脆弱性に対する修正をリリースした。
数日後、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)はこれを、既知の悪用されている脆弱性(KEV)カタログに追加した。
Velvet Antの複数年にわたる侵入キャンペーン
このゼロデイエクスプロイトは、Sygniaが2023年に検知した複数年にわたる侵入キャンペーンの一部だった。
このキャンペーンには、標的組織のネットワーク内における複数の足掛かりの悪用が含まれていた。
Sygniaはキャンペーン分析の中で、この巧妙なアプローチは標的環境を包括的に理解していることを示していると指摘した。
同社は「長年にわたる諜報活動の中で、Velvet Antは高度化を進め、被害者ネットワーク内でサイバー作戦を継続するために進化する戦術を用いてきた。通常のエンドポイントでの活動から、レガシーサーバーへと作戦を移し、最終的にはネットワークアプライアンスへ移行し、ゼロデイを利用するようになった」とコメントした。
Sygniaの研究者は「このような脅威アクターの決意、適応力、持続性は、脅威を封じ込めて軽減するだけでなく、ネットワークを追加の悪用試行から監視するためにも、包括的な対応計画の重要性を浮き彫りにしている」と結論づけた。
写真クレジット: pchow98/Flickr
翻訳元: https://www.infosecurity-magazine.com/news/chinese-velvet-ant-cisco-0day/
