F5 のレガシー・デバイスを悪用:3年間にわたり潜み続けた中国系ハッカーの TTP を分析 – Sygnia

China-Linked Hackers Infiltrate East Asian Firm for 3 Years Using F5 Devices

2024/06/17 TheHackerNews — 中国と密接な関係にあると疑われるサイバー・スパイが、約3年間という長期間にわたり、東アジアの無名の組織に対して攻撃を続けていたことが判明した。この脅威アクターは、F5 BIG-IP のレガシー・アプライアンスを悪用して永続性を確立し、内部 C&C (command-and-control) として使用することで、セキュリティを回避していた。2023年の後半に、この活動に対応したサイバー・セキュリティ企業 Sygnia は、Velvet Ant という名前で追跡した結果として、迅速な機動力と対処策に適応する強力な能力を有すると分析している。


イスラエル企業である同社は、「Velvet Ant は洗練された革新的な脅威アクターだ。彼らは、顧客と金融情報に焦点を当て、長期にわたって機密情報を収集していた」と、The Hacker News と共有した技術レポートで述べている。

この攻撃チェーンには、PlugX (別名 Korplug) という既知のバックドアが使用されている。PlugX は、モジュール型のリモート・アクセス型トロイの木馬 (RAT:remote access trojan) であり、中国と関係のあるスパイ・グループにより広く使用されているものだ。このバックドアは、DLL サイドローディングと呼ばれる手法に大きく依存して、デバイスに侵入することが知られている。

さらに、Sygnia によると、PlugX をインストールする前にエンドポイント・セキュリティ・ソフトウェアを無効化する試みも確認されており、また、Impacket のようなオープンソースのツールが横移動に使用されていたという。

また、インシデント対応と修復作業の一環として、内部ファイル・サーバを C&C として使用する PlugX の亜種が、正規のネットワーク・アクティビティの中に悪意のトラフィックを紛れ込ませていたことも確認された。

Sygnia は、「つまり、脅威者は2つのバージョンの PlugX を、ネットワーク内に展開していたことになる。1つ目のバージョンは外部の C&C サーバで構成され、インターネットに直接アクセスできるエンドポイントにインストールされ、機密情報の流出を容易にしていた。2つ目は C&C サーバを持たず、レガシー・サーバにのみにインストールされていた」と説明している。

China-Linked Hackers


特に、2つ目の亜種は、リバース SSHトンネルを介してコマンドを発行することで、外部 C&C サーバとの秘密の通信チャネルとして、旧式の F5 BIG-IP デバイスを悪用していたことが判明した。それにより浮き彫りになったのは、エッジ・アプライアンスを侵害する脅威アクターが、長期間にわたって持続性を獲得できることである。

先日に WithSecure が公開した解析には、 「大規模な搾取の発生ににおいて必要となる唯一のものは、脆弱性のあるエッジ・サービス、つまりインターネットからアクセス可能なソフトウェアの一部である。このようなデバイスの大半は、ネットワークをセキュアにするためのものだが、これまでに数多くの脆弱性が発見され、攻撃者に悪用されてきた」と記されている。

ハッキングされた F5 デバイスの、フォレンジック分析により発見された PMCD というツールは、実行するコマンドを探すために、脅威アクターの C&C サーバを 60分ごとにポーリングするものだった。それに加えて、ネットワーク・パケットをキャプチャするための追加プログラムや、Gelsemium や Lucky Mouse などの脅威アクターが使用する、EarthWorm という SOCKS トンネリング・ユーティリティも明らかになっている。

標的の環境に侵入するために使用されたイニシャル・アクセス・ベクターが、スピアフィッシングによるものなのか、また、インターネットに公開されたシステムの既知の脆弱性を悪用したものなのかは、現時点で不明である。

今回の動向は、機密情報を収集する目的でアジアを狙う、Unfading Sea HazeOperation Diplomatic SpecterOperation Crimson Palace といった、中国に関連した新たなクラスターの出現に続くものである。

この記事で指摘されているレガシー・システムが、どれほど使われていたのか、あるいは、使われていなかったのか、そのあたりのことが分かりませんが、管理する側の意識の中では、存在感が希薄だったのだろうと推測してしまいます。ちょっと、話が飛んでしまいますが、2024/01/26 の「Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard:手口の詳細を解説」に記されているように、このインシデントのイニシャル・アクセスもレガシー・システムだったようです。Microsoft ですら、こういうことがあるのだなぁと、思ってしまった話です。