Velvet Ant による OpenSSH と PAM のバックドア化:分離されたネットワークに 10年にわたり侵入

Velvet Ant Hackers Backdoor OpenSSH and PAM to Spy on Critical Infrastructure Network

2026/06/15 gbhackers — 中国由来の脅威アクター Velvet Ant に帰属し、高度に規律化された、長期にわたる侵入が明らかになった。Operation Highland は、約 10年に及ぶ静かなアクセス・キャンペーンであり、分離された重要インフラ・ネットワーク全体で、中核的な認証コンポーネントである OpenSSH バイナリと PAM モジュールの置き換えを行っていた。


この侵入チェーンは、インターネットに公開されるシステムの侵害から始まった。侵入後の攻撃者はカスタムツールを展開し、秘匿された C2 (Command and Control) およびトンネリング機能を確立した。

カーネル・スレッド (auditdb) を装う改変版 GS-Netcat バイナリが、暗号化リバースシェルをリレー・インフラに提供し、専用の SOCKS5 プロキシがラテラル・トラフィックのルーティングを可能にしていた。

さらに Velvet Ant は、Nginx の再コンフィグや FastCGI ラッパーの連鎖を介して、バックエンド・ホスト上でバイナリを実行して Web インフラを悪用することで、分離された環境へ入り込む HTTP トリガー型の実行ブリッジを作成していた。

Operation Highland の再構成により、この環境における最初期の活動は 2016 年まで遡ることが判明したと、Sygnia Incident Response は述べている。さらに、ネットワーク分離が回避され、その仕組みの内部へ埋め込まれた、持続的かつ多段階の攻撃が明らかにされた。Velvet Ant は、インターネットに公開されるサーバ上に改変版 GS-Netcat を展開し、リモート C2 サーバへのリバースシェル接続を確立していた。

Snippet from IDA showing the usage of GS-Netcat (Source : Sygnia).
Snippet from IDA showing the usage of GS-Netcat (Source : Sygnia).

この意図的なステージングにより、外部接続を持たない内部の重要ホストへと、この攻撃者は直接的に到達していた。

Velvet Ant ハッカーが OpenSSH をバックドア化

内部へ侵入した攻撃者は、認証スタックに対して体系的な攻撃を行った。Sygnia が特定したのは、別々のビルド環境でコンパイルされた 9 種類のバックドア化された pam_unix.so の亜種である。それが示すのは、構造化されたパイプラインと膨大なリソースの投入である。

これらの悪意ある PAM モジュールの機能は、ハードコードされたバックドア・パスワードの受け入れと、正規の認証情報のストアへの収集と蓄積である。

多くのログイン・フローの基盤である PAM を改変した Velvet Ant は、認証に対して透過的かつ包括的な制御を獲得した。これにより、パスワード・ローテーションや通常の封じ込め対応が実施されても、継続的に維持されるアクセスが可能になった。

PAM の改竄を補完する形で、Velvet Ant は複数の改変版 OpenSSH スイートを各ホストへ展開していた。悪意の ssh/sshd/scp は、認証情報のダンプ/暗号化されたコマンド・キーロギング/プロセス偽装などに加えて、root として実行された場合の SELinux 無効化や、フォレンジック・タイムラインを消すためのタイムスタンプ改竄などを実行していた。

Decrypted credential dump from /usr/share/man9/ph/.ph.man, showing entries in the format [Connection Direction][Authentication Type][Success Status]-user@IP:port->password (Source : Sygnia).
Decrypted credential dump from /usr/share/man9/ph/.ph.man, showing entries in the format [Connection Direction][Authentication Type][Success Status]-user@IP:port->password (Source : Sygnia).

この攻撃者は、新しい ssh バイナリに対して、専用の -d フラグまで追加していた。これにより、自身のセッションに対する認証とセッションのログを停止し、検出可能な痕跡を減らすという観点からの、運用上のセキュリティ (OpSec) の改善が図られていた。

各エントリには、以下のフラグが含まれていた:

  • 接続方向:O (送信)/I (受信)
  • 認証方式:B (Kerberos 認証)、C (PAM 認証)、X (SSH2 認証) など
  • 成功状態:Y (成功)/N (失敗)

古い亜種では、バックドア・トークンとして、暗号化された MD5 ハッシュのローテーション・セットが使用されていた。有効なパスワードを、日次で変更することで検出を困難にしていた。

悪意ある scp バイナリは、root として実行された場合に、その権限を悪用することで SELinux を無効化していた。PAM/OpenSSH/authorized_keys の複合的な侵害により、認証バイパス/認証情報流出/永続的な SSH キー・アクセスという、多層的な永続化が実現されていた。

Snippet of ‘scp’ file in IDA showing the SELinux disabling (Source : Sygnia).
Snippet of ‘scp’ file in IDA showing the SELinux disabling (Source : Sygnia).

このような構造により、重要なインフラ環境などにおける侵害は、きわめて危険なものとなった。破損した PAM モジュールや SSH バイナリの置き換えは、管理者のロックアウトや本番停止を直ちに引き起こすリスクがある。特に、ライブのパッケージ取得や依存関係の解決が不可能な、エアギャップ環境またはインターネット制限環境では、そのリスクが高い。

Sygnia の修復対応で重視されたのは、ラボ環境でのテスト/互換性のある置換バイナリを特定するホスト単位のプロファイリング/分離環境への逐次的な展開などであった。それと並行して、クリーンアップ中に意図せずアクセスを拒否してしまう事態を避けるための、明示的なロールバック計画も考慮された。

防御側にとって必要なことは、認証サブシステムを主要な攻撃対象領域として扱うことである。

推奨される緩和策としては、分離ネットワーク向けのエンドポイント可視性 (EDR) や、テレメトリ・リレー、PAM/OpenSSH アーティファクトに重点を置いたファイルの整合性の監視などが挙げられる。さらに、厳格な特権アクセス制御や、認証情報の保管庫管理、直接 root SSH の無効化に加えて、重要ホストへ到達する前段に MFA を強制するための、堅牢化された踏み台ホスト経由の管理が含まれる。

認証情報のローテーションは、一連の永続化を除去した後に実施すべきである。ユーザー組織にとって必要なことは、ゴールデン・リカバリ・ホストと、オフラインかつイミュータブルなバックアップを準備し、安全な復旧を担保することである。

この Operation Highland が示すのは、十分なリソースを持つ忍耐強いアクターが、認証レイヤーを武器化し、分離されたインフラ内部でのステルス性の高いアクセスを、長期にわたり実現できることだ。

Sygnia による調査およびアドバイザリ資料には、Velvet Ant による F5 BIG-IP アプライアンスの悪用/Cisco NX-OS ゼロデイ CVE-2024-20399 の悪用/Nexus スイッチ上の VELVETSHELL バックドアに関する報告なども含まれており、詳細なインジケータと修復ガイダンスが提供されている。高価値の運用環境を防御するチームは、それらを参照すべきである。

訳者後書:長期間にわたるネットワークへの潜入の実態が明らかにされました。この問題の背景にあるのは、外部との接触を制限した安全なはずの領域であっても、公開サーバーのギャップを起点として境界線が突破され、内部の根幹システムへと段階的に侵入されていくリスクです。このインシデントによる影響として、認証の仕組みを担う OpenSSH や PAM が改竄され、防衛機能の無効化を伴う永続的な侵入経路が維持されてしまいました。対抗策としては、機器の構成ファイルへの変更を継続的に監視する仕組みを整え、管理者権限での接続手順を厳格に見直すとともに、隔離された環境であっても詳細な稼働記録を収集することが大切になります。